LNP281 Bedenken second

Promidoxxing — Netzpolitische Investments — 35C3

Frisch aus dem Congress-Koma erwacht liefern wir Euch die erste Sendung des Jahres und wie es kaum anders zu erwarten war widmen wir uns ausführlich dem aktuellen Aufreger Promidoxxing, der in den Medien noch zum "Hackerangriff" verklärt wird und schauen mal ganz genau nach, was denn da eigentlich passiert zu sein scheint. Und aus dem entsprechend gegebenen Anlass bauen wir als Vorlage für Eure guten Vorsätze in diesem Jahr ein ausführliches Segment ein, in dem wir Euch Tips zur Absicherung Eurer Daten geben, falls ihr irgendwann mal prominent werdet. Und noch weniger überraschend liefern wir auch einen umfangreichen Rückblick auf den vergangenen 35. Chaos Communication Congress inklusive einiger erster Tips, was man sich aus dem Konvolut an Vorträgen vielleicht mal anschauen sollte (to be continued). Und da wir gerade in Beratungslage waren geben wir Euch auch noch ein paar Anregungen, wie und wo Ihr Eure Moneten in diesem Jahr gewinnbringend für die Netzpolitik einbringen könnt. Sitftung Datentest in Reinform.

Dauer: 3:02:13

On Air
avatar Linus Neumann Paypal Icon Bitcoin Icon Amazon Wishlist Icon
avatar Tim Pritlove Paypal Icon Bitcoin Icon Liberapay Icon Amazon Wishlist Icon

Promidoxxing: Digital First

An wen soll ich spenden?

35C3 Rückschau

35C3 Vortragsempfehlungen

35C3 Rechnerklau

138 Gedanken zu „LNP281 Bedenken second

  1. Sigismund Fabian ist ein ehemaliger Redakteur der Computerspiele Zeitschrift Gamestar der auch einen Videospiele Kanal auf Youtube hat.

    • Durch Linus’ aussagen bekommt man den Eindruck, dass er aufgrund einer möglichen rechten Gesinnung nicht unter den Opfern der Veröffentlichung ist. Dem würde ich gerne widersprechen. Ich verfolge sein Schaffen nun lose seit er bei der Gamestar angefangen hat (2006). Er scheint ein guter und vernünftiger Typ zu sein und hat sich ein einigen seiner Videos auch sehr klar gegen rechts positioniert und aktiv versucht Aufklärung unter seinen Zuschauern zu betreiben.

      Ich kann nur vermuten wo der erwähnte Respekt herkommt. Er war früher wohl mal Offizier der Bundeswehr und ist nun Reserveoffizier.

      Ich hoffe hiermit den Eindruck aus der Folge korrigieren zu können.

      • Oh, es war nicht meine Absicht, ihm eine rechte Gesinnung zu unterstellen.
        Mir ist nur aufgefallen, dass es unnötig viel über den Angreifer und seine Motivationen verrät,
        • jemanden zu hacken, den er „respektiert“
        • die Daten dann auch „aus Respekt nicht zu veröffentlichen
        • aber trotzdem nicht an sich halten zu können und damit öffentlich angeben zu müssen.

        • Sigismund könnte auf jeden Fall aufgrund seiner sehr deutlichen Äußerungen gegen die AFD und allgemein gegen rechts ins Visier geraten sein. Er fordert auch regelmäßig eher apolitische Youtuber auf, gegen rechts Stellung zu beziehen, weil er meint, dass wir uns beim derzeitigen Rechtsruck keine Zurückhaltung leisten können, wenn wir unseren Rechtsstaat behalten wollen.

          Dass er trotzdem Respekt genießt dürfte aus seiner Gamerhistorie erklärbar sein. Er hat sich einst vehement und öffentlich wirksam gegen die “Killerspiel”-schreier gestellt und da argumentativ überzeugt. Noch dazu spielt er viel Battlefield, ist also auch bei einem Shooter und teils waffenbegeisterten Milieu bekannt.

          Interessant ist, dass er letztes Jahr gehackt wurde inklusive Löschung seiner Twitter Timeline und anderer unschöner Dinge. Er hat mit dem Hacker sogar kommuniziert, weil er seine Beweggründe erfahren wollte und hat dann später recht ausführlich auf YouTube davon berichtet. Es wäre interessant zu wissen, ob seine Daten von diesem Hack stammem.

          Er hat übrigens auch ein Format, in dem er sich mit Datenschutzfragen von Eltern auseinandersetzt.

  2. Protonmail bietet in der Bezahlvariante bereits eigene Domains, je nach Plan sogar mehrere. Über den Domainanbieter kann man dann den Catchall setzen.

      • Wenn dann mehrere Aliase (für jeden Dienst einer), aber das ist umständlicher.

        Ich frag mich grad, ob ich nicht ein riesen Spam-Problem bekomme, wenn ich eine Catch-All Adresse verwende (Spammer probieren die Domain random durch) und wie man damit umgeht?

        • Ich glaub, die Idee ist, du guckst dir die Mails eh nicht an, syncst sie nicht mal regelmässig, löschst automatisch nach relativ kurzer Zeit. Du rufst das Konto nur auf, um mal auf einen Bestätigungslink zu klicken.
          Falls ich das so richtig verstanden habe, weiss ich aber nocht nicht, wie ich das mit Diensten machen soll, deren Mails ich regelmässig mitbekommen möchte. Amazon soll mich zeitnah erreichen dürfen, wegen Versandbenachrichtigungen, Antworten auf meine Fragen zu Produkten etc., aber ich möchte nicht, dass eine Amazon-Passwort-Rücksetzung auf meinem Client ankommt. Hmm. Ist das von Linus nicht zuendegedacht oder von mir? Ich vermute Letzteres

        • Mich würde das mit den Aliasadressen auch interessieren:
          Wenn es darum geht, die tatsächliche Adresse hinter dem Account zu verschleiern – damit man eben nicht die Loginadresse hinter dem Account preisgibt – hätte ich das doch mit einem Alias erreicht? Oder kriegt man die tatsächliche Adresse dahinter so leicht raus?
          Und worin besteht der Sinn, für jeden Dienst nen eigenen Alias zu benutzen? Dass die Variante mit googlekonto+X@gmail nihct viel bringt, hat Linus hier ja
          schon irgendwo erklärt. Und der richtige Adressenname ist daraus auch immer noch ersichtlich.
          Sowohl diese Variante, als auch diese Catchall-Domain scheinen mir eher Möglichkeiten des Spammanagements zu sein. Wie das die Sicherheit meines Mailaccounts erhöht, verstehe ich noch nicht ganz?
          Würde mich über Aufklärung freuen.

          • Wenn du catchall nutzt, kennt ein Angreifer nicht den Anmelde-Namen des Accounts, wo das alles landet.
            Wenn du den Account ansonsten auch nicht nutzt, ist er separiert von deinem Kommunikations-Account.

            • Könntet ihr das Thema Catch-All vielleicht noch einmal im Detail behandeln? Ich überlege schon seit längerem so ein System aufzusetzen, aber hadere leider mit den technischen Beschränkungen bei den Email Providern (bezüglich Filteroptionen), oder mangelnder Privacy. Was letztendlich dazu führt, dass ich weiterhin meine dutzenden Mailadressen von zig Anbietern nutze.

              • Das Thema CatchAll an sich genauer zu betrachten, wäre auch ein Vorschlag von mir. – Allerdings bei mir nur aus Bestätigung für mein aktuelles Setup, was in 13 Jahren entstanden ist.

                @Steve
                Die technischen Beschränkungen anderer Anbieter habe ich mittlerweile mit einem eigenen System “erschlagen”. – Allerdings ist das auch nicht ganz ohne, ein System ‘unmittelbar’ im Internet zu haben. Entsprechender Schutz und Updates sind dabei unabdingbar!

  3. mailbox.org – aus Berlin – macht auch eigene Domain und Catchall und schreibt sich ja sonst Privacy auf die Fahnen (wie gut sie das machen, muss jeder selbst beurteilen). Ab 1€ / Monat.

    • mailbox.org läuft bei mir auch absolut stabil und die Funktionalität stimmt. Leider ist das UI-Design so ziemlich das schlechteste was ich von E-Mail-Anbietern je gesehen habe.

  4. Das mit dem catchall kann man auch noch weiter treiben: Bei uns hat jedes Familienmitglied eine eigene Catchall-Subdomain. Leider braucht man dann bei einem Anbieterwechsel einen, der das dann ebenfalls kann.
    Das als Feature zu finden war gar nicht so einfach. Bin von domainfactory weg, nachdem die ebenfalls alle Userdaten ins Internet gelassen haben und schlussendlich bei goneo gelandet.

  5. Nach dem Verkacker auf Twitter: Fast jede Domainregistrierung gibt auch gleich noch Email-Konfgurationen mit und dort kann man seine CatchAll auf sein Postfach für Anmeldungen laufen lassen.

  6. 35C3 Vortragsempfehlungen

    Ich möchte hier mal eine Lanze für die „Kunst & Kultur“-Vorträge brechen. Das sind oftmals Vorträge, die einen komplett aus den Erwartungen, die man an einen Techno-Kongress hat, herausreißen und die eigenen Gedanken in neuer Art und Weise durchkneten und damit neues Denken ermöglichen. Mega-spleenig, ultra-abgefahren, vollverschwurbelt kann das sein, aber nach einer Woche nachhall im Kopf macht’s dann »Bling!« und man hat plötzlich verstanden, was der Künstler oder die Künstlerin eigentlich mitteilen wollte, und das ist oft nicht dumm.

    Meine Empfehlung aus dem diesjährigen Programm ist deshalb:

    „Never Forgetti“ — a didactic live-gaming performance about dying women across video game history

    Ich habe mir den Arsch abgelacht. Es ist möglich, Themen ohne hysterischen Twitter-Kreisch zu behandeln und alternative Behandlungsformen und Möglichkeiten zu eröffnen. Simpel und lustig.

    Das ist das, was Kunst kann! Danke.

    • Ich hab da als der Vortrag live lief reingezappt und dachte erst “Was ist das denn? Worum geht es da? Was schaue ich mir hier an?” – das war gegen Ende kurz bevor das Lied los ging. War auf jeden Fall sehr lustig und ich hab mir den Vortrag (ist das überhaupt das richtige Wort? Die Vorführung) später nochmal komplett angeschaut. Hat sich gelohnt, finde ich, aber ich denk auch dass da die Meinungen weit auseinander gehen können. :-)

  7. Linus, wenn du festplattenbasierte Eichhörnchen-Backups an Freunde und Bekannte verteilst, kannst du die Platte in zwei Partitionen aufteilen: eine verschlüsselte Partition für dein Backup und eine weitere Partition, die von deinem menschlichen Backup-Host verwendet werden kann. So hat der Host auch was davon und weiß dann auch eher, wo er/sie die Platte hingepackt hat, wenn du nach längerer Zeit ankommst und dein Backup brauchst.

  8. Frage an Linus zum Thema verschlüsselte Backups in der Cloud:

    Angenommen, ich lade heute meine Backups, vorab verschlüsselt nach dem derzeitigen Stand der Technik, in mein S3 Bucket (oder vergleichbares).
    Angenommen, ich lasse diese Dateien da für die nächsten 20 Jahre liegen (selbst wenn ich die Dateien vorher lösche, kann Amazon sie ja theoretisch noch ewig aufbewahren).

    Wie wahrscheinlich ist es aus deiner Sicht, dass in 20 Jahren (Quanten-)Technologie verfügbar ist, mit deren Hilfe sich die heute verfügbaren Krypo-Verfahren ohne allzu großen Aufwand brechen lassen?
    Damit wären meine Daten dann ja doch für dritte Einsehbar, wenn auch Zeitlich versetzt…

    • Dass in 20 Jahren AES gebrochen ist, kann natürlich niemand ausschließen, aber
      • in den 20 Jahren wäre dein unverschlüsseltes Backup schon 10x verloren gegangen
      • auch wenn AES kaputt ist, wird es wahrscheinlich mit Aufwand verbunden sein, dein Backup zu entschlüsseln
      • im Zweifelsfall zahlst du nicht 20 Jahre für die Aufbewahrung des Backups an Amazon, sondern ersetzt es auf dem Weg zum AES-Bruch irgendwann durch ein Neues, nach aktuellen Methoden verschlüsseltes und
      • wenn AES wirklich bricht, werden Angreifer erstmal eine ganze Reihe anderer Daten entschlüsseln, bis dann irgendwann dein 20 Jahre altes Backup an die Reihe kommt :)

    • Kurze Anmerkung zu Quantencomputern: Soweit ich weiß, sind die keine große Bedrohung für symmetrische Verfahren, sondern für asymmetrische. (Siehe dazu auch Wikipedia zu Post-Quantum-Kryptographie.) Ich würde also vermeiden, das Backup mit einem PGP-Key oder so abzusichern. Das schließt natürlich nicht aus, dass man bis dahin Probleme in AES, dem genutzten Betriebsmodus oder deiner Implementierung findet, oder die Computer einfach sehr schnell werden. 20 Jahre sind schon lang.

  9. Nun, frei Haus kommt BitLocker, die Laufwerkverschlüsselung von Windows, leider nicht. Man muss schon eine Pro Version von Windows haben. Der durchschnittliche Windows User benutzt natürlich die „Home Edition“, die auf seinem ALDI Rechner mitgeliefert wurde. Also ohne BitLocker.
    Für die Apple und Linux User: Das ist so, wie wenn man… Ähm. Nee, den Vergleich gibt es nicht

    • +1 – Leider korrekt – aber VeraCrypt hilft hier für Windows, Mac und Linux weiter.
      Ich hätte aber eine Frage an Linus: spielt es aus “Data Security”-Sicht ein Rolle ob eine Festplatte komplett oder nur die Partition mit meinen (sensiblen) Daten verschlüsselt wird und auf anderen Partitionen (z.B. noch diverse Betriebssysteme für Cross-Plattform Tests) unverschlüsselt hausen?

      • Bin zwar nicht Linus, aber ja, spielt es :D

        Du weißt praktisch nie, wo Programme potentiell sensible Daten cachen; z.B. Browsercache, Officeprogramme, Mediathumbnails etc.

        Natürlich kannst du jetzt versuchen, das für jedes Programm mit entsprechenden SELinux-Policies (oder anderen Sandboxverfahren) zu tracken und zu unterbinden, aber das ist ein immenser Aufwand und sehr schwierig, das umfassend richtig zu machen.
        Dazu kommt noch, dass die Full-Disk-Encryption die einzig praktikable und zuverlässige Lösung für die “sicher Löschen”-Problematik ist, da die meisten modernen Datenträger deinem OS gar nicht mehr die Möglichkeit geben, bestimmte physische Sektoren gezielt zu überschreiben.

  10. Zu eurer Anmerkung bzgl. Catch-All-Adressen bei gängigen E-Mail-Providern ist mir spontan noch Subadressing eingefallen, also das Anhängen von “+irgendwas” an den lokalen Teil der Mailadresse, etwa:

    irgendwer+facebook@irgendwas.com

    Das funktioniert, so ist zumindest mein letzter Stand, sowohl bei Google Mail als auch bei iCloud und noch einigen anderen Anbietern und verhindert zumindest das automatische Matching von Adressen, wenn man auch relativ trivial auf die ursprüngliche Adresse kommen kann. Funktioniert allerdings in einigen Registrierungsformularen mangels standardkonformer Validierung von Mailadressen nicht.

      • Wenn man das ganze z.B. bei Posteo nicht mit der Hauptemail macht, die man benötigt um sich einzuloggen, sondern mit einem Alias macht, kann man das Problem aber umgehen.

        Das Hauptproblem ist, dass das + nicht überall akzeptiert wird.

      • Nicht ganz. Wenn man bei Posteo eine Alias-Adresse einrichtet kann man sich mit dieser nicht auch einloggen. Das heißt alias+x@posteo.x verschleiert immernoch die zum Login benötigte Email-Adresse.

  11. Hallo ihr beiden. Die geklauten Flaggen waren meine und wurden geklaut während ich geengelt habe. Die Hackspaces aus dem Norden hatten keine eigenen, also habe ich meine Flaggen mitgebracht.

    Das tut mir besonders weh, da ich mir derzeit einfach keine neuen Flaggen leisten kann. Nachdem ich darüber getwittert hatte, haben sich einige Leute gemeldet und mittlerweile werden diese allerdings ersetzt.

    https://twitter.com/dc7ia/status/1079344581433610240

    Natürlich hinterläßt das jetzt kein besonders gutes Gefühl bei meinem ersten Congressbesuch und das hatte mich an Tag 4 auch echt fertig gemacht.

    https://twitter.com/dc7ia/status/1079351608650227712

    Ich habe mittlerweile eine Email bekommen und weiß zumindest, wer das Graffiti “capture the flag / no borders / no flags” an die Trennwand geschrieben hat, allerdings sagt dieselbe Person auch, dass diese Person die Flaggen nicht geklaut hat.

    Den Nationalismusvorwurf, der mir immer wieder zugetragen wird, kann ich nicht nachvollziehen. Die Flaggen (von Schweden, Norwegen, Dänemark, EU) waren schließlich Wegweiser und sollten es leichter machen nordischen Hackspaces und die Assembly The Cold North zu finden. Außerdem waren es ja Flaggen von mehreren Ländern, also symbolisiert das doch eher Weltoffenheit als nationalistische Verschlossenheit, denke ich.

    Falls noch jemand eine finnische Flagge findet: Helsinki Hacklab vermisst auch noch eine kleine finnische Flagge https://twitter.com/HelsinkiHacklab/status/1079484907099955205

    dc7ia

    p.s.: Ich hätte die Flaggen auch echt gerne wieder, ich will auch gar nicht wissen wer es war. Ja, die Flaggen hatten auch einen emotionalen Wert und waren nicht einfach wertlose Symbole zum wegschmeißen.
    Sollten diese jemandem beim Abbau noch aufgefallen sein: 150 x 90 cm jeweils Schweden, Norwegen, Dänemark, EU.

    • Ich erinnere mich an Flaggen auf dem Fusion-Festival, ebenfalls eine “arschlochfreie Zone”. Es war 2006, Fussball-WM, und von 10000 Autos gab es 50 oder so mit Deutschlandwimpeln. Fand ich sehr unpassend vom Style her.
      Jedenfalls sind in der ersten Nacht irgendwelche Autonomen (oder so) da durchgerockt und mir blieb der Stress erspart, selber ein paar Wimpel zu knicken.
      Etwas völlig anderes ist es, wenn man auf dem Festival gelände einen Erkennungspunkt setzt, ein Fahnemast, dass dein Zeltlager auch im Delirium von allen gefunden werden kann. Meine Peer Group kam zum Teil aus Schweden, und die machten mit einem langen schmalen blaugelben Wimpel auf sich aufmerksam. Und *zack* hatten wir 2 hübsche Norwegerinnen am Grill. Eine deutsch-norwegische Beziehung daraus hielt jahrelang. Das zum ganz praktischen Unterschied.
      Eine dänische Flagge (in nicht-Dänemark) hat eine völlig andere Bedeutung als ein Schwarzrotgoldfetzen irgendwo im deutschen Alltag.
      Das nicht unterscheiden zu können ist halt leider ganz ganz simple Dummheit, und unter den Linksextremen gibt’s auch immer wieder mal so Figuren, die sich mehr durch Treue, Tatkraft und sture Gefolgschaft auzeichnen, als dass sie das mit dem Leben-und-Leben-lassen tatsächlich verstanden hätten. Dumpfe, radikale Extremisten halt, nicht am politischen Rand links oder rechts, sondern am Rand vernünftigen Miteinanders. Offenbar gab es unter 18000 Teilnehmern 2 oder 3 von der saudummen Sorte.
      Was die tun, geht weder gegen dich, noch wirft es (faktisch) ein anderes Licht auf “die Leute” insgesamt.
      Natürlich hätte ich dir das lieber auf dem C3 persönlich gesagt, um dich moralisch aufzubauen, als hier hinterher klugzuscheissen. Aber: Es gibt tatsächlich keinen Grund, sich als Opfer zu fühlen. Shit happens. Musste halt neue Flaggen besorgen. Kosten sind nicht schön, aber Geld ist auch nur Geld. Oder?

      • Ich persönlich halte es für ne steile These aus persönlichem Empfinden heraus das Recht abzuleiten das legale (also gesamtgesellschaftlich nicht in Frage gestellte) Eigentum eines anderen beschädigen zu dürfen. Ich deklariere das Entfernen aus dem Besitz mal in die Kategorie Beschädigung, da es auf das Selbe hinausläuft, nämlich dass es dem Beschädigten nicht mehr möglich ist, sein Eigentum zu nutzen.
        Und dabei ist es vollkommen egal, ob das jetzt Deutsche oder anderer Nationen Flaggen sind, die gestohlen, abgeknickt oder sonst was werden.
        Wir haben in einer Demokratie einen Weg, um solche Empfindungen durchzusetzen und das ist nicht die Selbstjustiz, sondern der demokratische Weg.
        Ansonsten müsstest du dich auch mit spontaner Hausdurchsuchung ohne Hinweise zufrieden geben. Die Polizei/Staatsanwaltschaft/etc haben ja das Empfinden, dass bei dir irgendetwas passiert, dass ihrem Sicherheitsbedürfnis entgegen geht.
        Oder von einer politisch anderen Seite fändest du es sicher nicht so gut, wenn plötzlich Menschen bei dir einbrechen und deine Sachen entwenden (Eigentum ist ja nach so mancher extrem linker Meinung eine Sache, die abgeschafft gehört.
        Klar sind das jetzt extremere Beispiele, sie fußen aber auf dem Selben Gedankengang.

        • Ich mache deine Ein-Euro-Flagge kaputt, weil sie mich beleidigt. Ein. Euro.
          Das Prinzip “man macht andere Leute persönliche Sachen nicht kaputt” steht hier dem Prinzip “Schlandfahnen auf der Fusion gehen gar nicht”. Ein. Euro.

        • Ach so, eins noch, das IST der demokratische Weg gewesen. Die Mehrheit gegen diese Ausformung von Ballspielkultur “man wird doch noch mal stolz sein dürfen auf sein Land” (Thema “gibt es harmlosen Nationalismus?”) war innerhalb des Gemeinschaftsgefüges der “befreiten Zone” eindeutig.
          Auf den Vergleich mit dem Einbrechen zuhause geh ich nicht ein, ausser “Verhältnismässigkeit” zu sagen, und “ein Euro”.

  12. Nachdem heute früh gemeldet wurde, dass bei einem Zeugen in Heilbronn eine Hausdurchsuchung am Sonntagmorgen durchgeführt und Material beschlagnahmt wurde, denke ich wieder an die “Zeugen” in Dortmund und bei den Zwiebelfreunden. Ich habe nur mitbekommen, dass ein Gericht das Vorgehen als unzulässig verurteilt hat, aber gibt es irgendwelche Hinweise auf eventuelle Sanktionen gegen diejenigen, die damals falsch gehandelt haben?

    • Ich denke, die Durchsuchung bei dem Zeugen unterscheidet sich etwas von der bei den Zwiebelfreunden. Soweit ich sehe, hat der Zeuge öffentlich bei Twitter geprahlt, in Kontakt mit G0d zu stehen, postete Screenshots etc. Insofern konnte angenommen werden, dass man bei ihm in der Tat Material zur Überführung des Täters findet. Daher vermute ich, dass in seinem Fall die Durchsuchung rechtmäßig war.

      Im Fall der Zwiebelfreunde gibt es keine Hinweise auf Sanktionen.

      • Der Durchsuchte hat auch Seiten betrieben, auf denen 0rbit Daten veröffentlicht hat. Die Seiten schienen primär dem Zweck des Doxing zu dienen.

        Deswegen legt der Durchsuchte Wert auf die Feststellung, in DIESEM FALL als Zeuge durchsucht worden zu sein.

  13. Kurze Frage zu Passwortmanagern:
    Ist es denn nicht auch gefährlich, alle Passwörter an einer zentralen Stelle zu haben? Wenn bei so nem “Passwortsafe” das Schloss kaputt geht, kommt man doch auf ein mal an alle Informationen, oder nicht?

    Wie macht man das denn, wenn man mehrere Rechner (mit unterschiedlichen OS) hat, von denen aus man seine diversen Accounts aufsucht? Wie weiß denn dann der eine Passwortmanager vom anderen?

    Welche Passwortmanager gelten denn als sicher? Es gibt ja viele, welchem kann man denn trauen?

    • Genau das Frage ich mich auch. Ich habe wirklich Bauchschmerzen alle meine Passwörter einem Programm anzuvertrauen. Aber vielleicht ist das auch unbegründet, ich kann das nicht wirklich beurteilen.

      Obwohl ich meistens meinen Hauptrechner benutze, frage ich mich auch, wie ich dann Logins von anderen Geräten machen soll. Wäre schön wenn das jemand beantworten könnte der mehr von Technik versteht als ich.

      • Ich würde mich auch freuen, wenn Linus in der nächsten Sendung hierzu noch ein paar Details erzählen könnte. Es gibt unheimlich viele Passwortmanager, so dass es sehr schwer zu beurteilen ist, welche wirklich etwas taugen.

        Das Problem mit Passwortmanagern ist auch, dass bei Nutzung eines (gängigen) Passwortmanagers der Trojaner genau weiß, wo er nach den Passwörtern suchen muss und idealerweise auch gleich ein Angriffsmodul mitbringt, das genau auf diesen Passwortmanager zugeschnitten ist. In dem Falle wäre ein Passwortmanager u.U. sogar unsicherer als die Passwörter einfach in unverschlüsselten Textdateien zu lagern, wo sie zwar nicht geschützt aber auch nicht so sehr unter Beobachtung stehen. Das sicherste wäre somit ein selbstgeschriebener Passwortmanager (sofern man weiß was man tut, sonst ist das bei Krypto auch schnell wieder kontraproduktiv) oder ein bis zur totalen Unkenntlichkeit modifiziertes Open-Source-Produkt…

        • Ich nutze KeePassXC (geht für Windows, Mac, Linux, ist keine App fürs Smartphone!) als Passwortmanager in Verbindung eines Yubikey Tokens (Challenge-Response, im 2.Slot, wird per USB in den Computer eingesteckt (wie eine Tastatur), geht auch via NFC (für Smartphone), es gibt verschiedene Yubikey Variaten, meine hat kein NFC). Es wird neben einem 1.Passwort noch ein zweiter Teil für die Entschlüsselung benötigt, nämlich dieser Teil komm vom Yubikey!

          Wenn ich mich richtig erinnere, hat Linus irgendwann mal gesagt, ein Passwort ist kein Passwort unter 6 Zeichen – es ist zu einfach zu errechnen (Passwort unter 6 Zeichen = Kindersicherung?). Hat ein Angreifer erstmal die Datei, die ganz allgemein ein KeyPass Manager verarbeitet, sich abgegriffen, kann es bei einem zu KURZEM Passwort errechnet werden. Dann hilft der Passwort Manager leider nicht. Der Angreifer wäre im Besitz der tollsten und längsten vom Manager erzeugten Passwörter. Nebenbei findet der Angreifer auch noch alle URL‘s, benötige E-Mail Adressen, die für jeden Login auf allen möglichen Websites benötigt werden. Eine verständlich furchtbare Vorstellung.

          Umkehr dazu ist, sich ein sehr LANGES Passwort zu merken und JEDESMAL einzutippen, wenn man Zugriff auf die Passwöter benötigt. Das ist leider umständlich und mühsam. Da finde ich, hilft so ein Yubikey, der ein einfaches kurzes Passwort „künstlich“ verlängert um 40 Zahlen/Buchstaben (64 byte input? Im Challenge – Response mode HMAC-SHA1 ? Man kann den Key selber personalisieren). Und man kann die Datei irgendwo in die Cloud zur Sicherung schieben, der physikalische Yubikey bleibt bei einem selber. Ich bin kein IT-ler und kann es nicht bewerten, wie sicher oder gut es ist. Aber ich fühle mich sicherer, wissen tue ich es nicht. Und: man darf den Yubikey nicht verlieren, ohne den läuft dann nix mehr!!! Man kann sich aber diesen langen Schlüssel (vom Yubikey) auch aufschreiben auf ein Blatt Papier und z.B. am Dachboden in einer Ritze im Holzbalken verstecken. Oder man macht es wie das Eichhörnchen mit den Nüssen …

          UND: KeePassXC, wie auch andere Passwortmanager können das Passwort ergänzen mit einer beliebigen SCHLÜSSELDATEI.

    • Genau das habe ich mir auch gedacht. Daher vertraue ich meinem Passwort-Manager die wirklich wichtigen Passwörter auch gar nicht an.

      Ist ein Passwort-Manager nicht gleichzusetzen mit einem Facebook mit SSO zu allen Accounts?

    • Natürlich schafft ihr euch mit dem Passwort-Safe EIN neues Risiko: Alle Daten (verschlüsselt) an einem Ort. Die Frage ist aber, welche VIELEN anderen Risiken ihr minimiert gegenüber dem, was ihr (eventuell) jetzt tut:
      • überall gleiche / ähnliche Passwörter nutzen
      • nicht die maximal zulässige Komplexität der Passwörter ausnutzen
      • eure Passwörter überhaupt KENNEN ;-)
      Da das automatische Ausfüllen nur jeweils auf der Seite funktioniert für die der Passwort-Manager das Passwort gespeichert hat, erhaltet ihr darüber hinaus noch ein kleines weiters Schutz-Layer gegen Phishing-Angriffe.
      Unterm Strich habt ihr ein neues, aber verständliches und kalkulierbares Risiko bei der Aufbewahrung der Safe-Inhalte, während ihr viele neue Schutz-Layer gegenüber üblichen Angriffen gewinnt.
      Langfristig wäre es schön, wenn wir was besseres erfinden würden, aber bisher ist die Kombination aus Password-Safe + 2FA leider das beste was wir haben.

      • > Natürlich schafft ihr euch mit dem Passwort-Safe EIN neues Risiko: Alle Daten (verschlüsselt) an einem Ort.

        Ja, an einem, Ort den der Angreifer kennt weil er sich an das Passwortmanager-Executable dranhängen kann und durch Mitloggen des Masterpassworts dann Zugriff auf alle entschlüsselten Passwörter hat.

        Ich würde als Szenario von einem zumindest teilweise kompromittierten PC ausgeben, sonst könnte man die Passwörter ja wirklich in eine Textdatei auf dem Desktop legen oder einfach im Browser speichern.

        Nun ist natürlich die Frage, was man noch retten kann, wenn man einen Trojaner auf dem PC hat, allerdings sollten auch in diesem Fall maximal die Passwörter verlustig gehen, die man während der Infektion benutzt hat und nicht die gesamte Datenbank und da weiß ein Trojaner bei einem gängigen Passwortmanager meist, wonach er suchen muss.

        Bei einem Satz Textdateien ist es dagegen schon deutlich schwieriger, die korrekten Passwörter automatisiert zu finden, denn die Suchkriterien sind viel unschärfer.

        Das soll jetzt nicht heißen, dass ich für Passwörter in Textdateien plädiere – wahrscheinlich lässt sich das Problem nur mit zusätzlicher Hardware zufriedenstellend lösen, quasi eine “Secure Enclave” in einem Mikrocontroller mit Display und Bestätigungstaste.

        Vielleicht sowas in diese Richtung -> https://www.lstruss.de/cms/?q=security-token ?

        • 4-5 sichere Passwörter für die häufigsten Anwendungsfälle können sich die meisten Menschen schon merken. Damit ist man auch mobiler und flexibler als mit einem Passwortmanager Weitere kann ich dann auf einem verschlüsselten Zweitrechner ablegen.
          Das Problem in der Breite scheint immer noch zu sein, dass Passwörter wie schalke04 bei allen Accounts verwendet werden. Dazu die Nutzung einer 15 Jahre alten E-Mail-Adresse für alle Accounts.

  14. “Das kann man sich ja denken, was für Youtube-Kommentare unter dem AFD-Netzpolitik-Vortrag standen”. Nun, man kann sich vieles denken, aber vielleicht würde man sich dann ja irren. Überprüfen kann man es nun leider nicht mehr. Ich jedenfalls fand vieles von der dort geäußerten Kritik an der Rednerin Miriam konstruktiv und fundiert. Glaubt der CCC wirklich, es geht nur noch mit dieser Art von Zensur? Lasst die Leute sich doch nach Kräften selbst blamieren! So hatten wir uns das Internet doch mal gedacht, oder? Ich jedenfalls würde mich sehr freuen, wenn der CCC die Kommentare im Sinne des interkulturellen Dialogs wieder freischalten würde.

  15. Mir gefiel der Talk von Guy Standing sehr gut (auch Kudos von meiner Seite diesen Vortrag an diese prominente Stelle im Programm zu legen) – aber leider nur bis zum Frageblock. Für ein bedingungsloses Grundeinkommen bestehen nun mal linke (sozialgerechte) aber auch tendenziell rechte (neoliberale) Argumentarien, und dazwischen finden sich logischerweise gewichtige Unterscheide. Diese hat Standing auf die entsprechende Frage mE zu grob weggewischt. Im Gegenteil bin ich der Meinung, dass es von fundamentaler Wichtigkeit sein wird, diese Unterschiede sehr sauber herauszuarbeiten und auch eine politische Verortung (sozialgerecht!) der Forderung nach einem BGE sehr von Nöten ist. Selbstverständlich vertraue ich Standing, dass bei ihm persönlich die Forderung aus einer sozialgerechten Überzeugung stammt. Aber gerade bei der Volksabstimmung in der Schweiz hat sich gezeigt, dass sich die unterschiedlichen Argumentarien durchmischt haben. Und das war imho der eigentliche Grund, warum die Abstimmung mit nur 22% Ja-Stimmen sehr deutlich abgelehnt worden ist, und nicht weil (auch hier eine enttäuschende Antwort von Standing auf eine weitere Zuschauerfrage) ein Mitglied des Komitees einen Betrag beziffert habe. Kurz Vortrag: gut. Bei den Zuschauerfragen hat Standing dann sehr reduktionistisch und auch mit zu viel kurzsichtiger Wut argumentiert. Schon klar, wir brauchen das bedingungslose Grundeinkommen. Aber aus den richtigen Gründen!

    • Das BGE ist fast immer ein liberales (oder neoliberales) Konzept, aber ein rechtes Projekt ist es deshalb noch lange nicht. In der linke Debatte gibt es vor allem Kritik am BGE und die sollten wir ernst nehmen, ohne das bedingungslose Grundeinkommen gänzlich abzulehnen. Es sollte aber darüber nachgedacht werden – und das passiert viel zu wenig – was das BGE nicht ist, was es nicht leisten kann und wie es problematische gesellschaftliche Verhältnisse und unser Verhältnis zur Natur stabilisieren wird.

      • Naja, zuerst mal kann natürlich liberal nicht mit neoliberal gleichgesetzt werden, aber das wäre eine andere Diskussion, die hier zu weit führen würde. Aber mein Punkt beruht halt auf meiner praktischen Erfahrung im Abstimmungskampf in der Schweiz. Da musste ich feststellen, dass verschiedene Gruppierungen und Menschen sich aus sehr unterschiedlichen Motivationen für diese Forderung nach einem BGE engagiert haben. Da fand sich grob gesagt einerseits eine idealistischere, sozialgerechte Motivation (die ich als links bezeichnen würde) und andererseits eben die neoliberale, marktgetriebene Argumentation (welche ich als eher rechts bezeichnen würde), der es vor allem darum geht die Sozialwerke zu vereinheitlichen, um sie dadurch schlanker [!] zu machen (also auch als eine Art Sparübung, und was fällt dabei weg?), und noch grundsätzlicher ging es denen – in the long run – darum weiterhin gute Konsument*innen zu gewährleisten. Oft waren es auch verwirrende Mischformen dieser beiden Motivationen. Vor allem führte dies zu einer Unklarheit, die von der Abstimmungsorga nie thematisert worden ist, was ich schade fand. Darum war ich auch enttäuscht als Standing eine entsprechende Frage in barschem Ton weggewischt hat.

        Darüber hinaus gebe ich dir recht, BGE kann in jedem Fall relativ wenig am Status Quo ändern, was dabei neben gesellschaftlichen Verhältnissen und unserem Verhältnis zur Natur noch fehlt, ist das ausbeuterische Verhältnis zum sog. globalen Süden, hier auch geschichtlich betrachtet. Eigentlich könnte ein BGE nur global eingeführt eine sozial gerechte Umverteilung begünstigen.

  16. Ein kleiner GMail-Zusatz. Catchall sind natürlich nicht möglich, aber ein paar Vorteile davon bekommt man bei GMail trotzdem.

    Ein Benutzer mit der E-Mail Adresse name@gmail.com, bekommt automatisch auch alle Mails an name+wasauchimmer@gmail.com oder auch na.m.e@gmail.com.

    Dadurch lässt sich natürlich auf den Login-Namen schließen, aber zumindest kann man auf diese Adressen GMail-Filter setzen oder es dafür benutzen unter der gleichen E-Mail zum Beispiel einen zweiten Twitter Account zu öffnen.
    Und wenn man mal Spam an name+facebook@gmail.com bekommt, dann weiß man auch wer die E-Mail Adresse rausgegeben hat :)

    Dieses Feature wurde übrigens auch schon mal bei einem Netflix-Hack ausgenutzt (https://www.forbes.com/sites/leemathews/2018/04/10/scammers-abuse-this-simple-gmail-trick-to-get-free-netflix/)

  17. immer wenn eh man schon double-face-palmend vorm Rechner sitzt, kommen die mit sowas :

    Reaktion auf Datendiebstahl “Cyber-Abwehrzentrum plus” geplant
    ( https://www.tagesschau.de/inland/datendiebstahl-115.html )

    Plus ! – ja klar, wie beim Mc-i – oder cyber-Abwehrzentrum XXL.
    noch chicken dazu, Pommes ?
    oder kauf 1, nimm 2: und siehe da :

    Zudem soll ein zweites IT-Sicherheitsgesetz kommen.

    ein Königreich für einen soliden Tisch… :-/

  18. Bei den spendenwürdigen Organisationen möchte ich gerne noch die Electronic Frontier Foundation eff.org in den Ring werfen. Alleine für “Let’s Encrypt!” ist es das wert, von all den anderen Aktivitäten ganz zu schweigen.

      • Spenden:
        Aus Tims Podcasts ist ja bekannt, dass es keine “Untergrenze” für Spenden gibt.

        Ich bin Student und möchte gerne Spenden Bevorzugt ist die “Eichhörnchen-1€-Dauerauftrag-Technik” um den Betrag in Zukunft nur noch erhöhen zu müssen ohne eine wichtige Organisation zu vergessen.
        Eine Quartalsweise Abbuchung möchte ich gerne vermeiden (Kontinuität ist gewünscht).

        Genannten Organisationen ist auf den Seiten der implizite Mindestbetrag bei 5€.
        Mitgedacht:
        Ich möchte keinen erhöhten Bürokratieaufwand verursachen.
        Lohnt sich dann bereits eine solche Spende (ggf. auch wg. der Bereitschaft = “gezeigte Unterstützung”) – oder werfe ich hier nur Steine in den Weg.

        LG

  19. Ich war etwas von Linus’ Definition von “Hacker”/”Hacking” überrascht, daher möchte ich hier zumindest noch auf die Stallman’sche Variante [1] hinweisen. Mir ist bewusst, dass sie sich medial nie richtig durchsetzen konnte und daher meine (weitestgehend wertfrei gemeinte) Frage an Linus: Hast du dich bewusst dafür entschieden, die Unterscheidung zwischen “Hacker” und (z. B. ) “Cracker” aufzugeben?
    Möglicherweise handelt es sich ja tatsächlich um einen Anachronismus und einen Kampf gegen Windmühlen. Dennoch wird im gleichen Atemzug z. B. der C3 (durchaus wohlwollend und von vielen Seiten) als “Hackerkongress” bezeichnet, was wiederum auf ein konstruktiveres Verständnis des Begriffs hindeutet.
    Die “Hardwarehacker” (im weiteren Sinne) sind hier erfreulicherweise mit dem begriff “Maker” fein raus. Vielleicht könnten sie sie die Programmierer da ja mit aufnehmen, um einer Konstruktion wie “Softwaremaker” vorzubeugen. ;-)

    Danke für den Podcast und happy hacking!

    [1] https://stallman.org/articles/on-hacking.html

    • Mir stößt das persönlich auch immer noch ein bisschen auf – obwohl ich das eigentlich garnicht will.
      In den USA hat sich ja schon seit längerem das generische “Hacker” (dann eben mit dem Zusatz black hat / white hat) etabliert.
      Hab schon das Gefühl, dass hier in D auch jeder aufgegeben hat – den “cracker” haben sie einfach weggecybert.

  20. Bei posteo kann man sich bis zu 20 Alias-Adressen erstellen. Wenn ich das richtig verstanden habe, ist das dann auch so eine Art Catchall, nur eben ohne eigenen Domain-Namen. Richtig?

    • Naja, nicht ganz – der Vorteil eines Catch-All ist es, dass du eben nicht erst eine Adresse definieren musst.

      Wenn du bspw. die Domain alber.to hättest, würde jede E-Mail ankommen – die richtig adressierten natürlich an dein normales Postfach, aber auch sowas wie jVRea9ZfCquo@alber.to (in dein Catch-All-Postfach) – obwohl du dir diese Adresse nie hättest ausdenken können.

      Allerdings kann man natürlich auch mit Hilfe von Aliasen eine entsprechende Account-Trennung realisieren; allerdings ist das dann mehr Aufwand – und ich würde garantiert nicht mit 20 Aliasen rumkommen :D

      • Warum mehr als 20 Aliase?
        Wenn ich generell für alle Onlineshopping-Logins die Adresse “onlineshopping@alber.to” nutze, für alle Diskussionsforen “forum@alber.to”, für alle SocialMedia-Logins “socialmedia@alber.to”, dann kann ein Angreifer zwar erkennen, welche Konten zur gleichen Person gehören… aber das kann er ja auch im von Linus beschriebenen Szenario, wenn ich meine eigene Domain für die E-Mails nutze…

        • Ja, bei mir geht es da eher um völlige Accounttrennung – dadurch kannst du z.B. Spamfilter viel besser einstellen und so…
          Klar kannst du auch Aliase für Gruppen verwenden, dann könnte man mit den 20 hinkommen.

  21. Nach dem Congress merkt man, was man verpasst hat, obwohl man dort war. Das ist mir letztes Jahr schon passiert und diesmal war es wieder so. Ich gehöre zu den Leuten, die Ihr Euch mit dem Umzug nach Leipzig eingefangen habt. Aus Hamburg habe ich mir zwar viel im Livestream angesehen, aber ich wäre dort nie hin gefahren. Da ich im nichtsächsischen Umland von Leipzig wohne, nutze ich jetzt die Gelegenheit.
    Es war deutlich zu sehen, dass die Organisatoren mit den Gegebenheiten des Messegeländes bei der 2. Veranstaltung viel besser klar gekommen sind. Mir hat es gefallen, dass es so entspannt und stressfrei zu ging. Für den großen Saal in Halle 1 ist wohl die optimale Variante gefunden worden. Da die Leute zeitlich relativ verteilt in den Saal strömen, aber am Ende der Vorträge plötzlich in großer Zahl raus wollen, passt das so. Der Gang hinten reicht als Eingang aus. Wenn alle raus wollen, ist es ganz praktisch, wenn man 2 Ausgänge hat. Warum das große Rolltor vor dem Übergang zur Halle 3 zu geblieben ist, habe ich allerdings nicht verstanden.
    Die Glashalle war diesmal etwas leer. Ich habe eine Weile gebraucht, bis ich die Rakete gefunden habe.
    Reserven sehe ich auch noch bei der Information für die Leute, die da rumlaufen. Sicher steht auch für die kleineren Events irgendwo im Internet wo wann was los ist, aber wer hat das alles im Blick? Bei den 5 großen Sälen funktioniert das sehr gut. An anderen Stellen gibt es noch Reserven. Wenn man die Podcast Bühne in ein Raum legt, an dem man nicht so häufig vorbei kommt und dann hinter 2 massiven Türen versteckt, mag das für die Akustik im Saal sehr gut, für die Wahrnehmung außerhalb der Szene ist das eher kontraproduktiv. Es muss ja nicht gleich toter Baum sein, aber ein hinreichend großer Infoscreen mit dem Programm wäre vor der Tür sehr hilfreich gewesen.
    Sehr gefallen hat mir dieses Jahr die Halle 2. Durch den wohl dosierten Einsatz von Trennwänden hat sich die Atmosphäre stark verbessert. Schade, dass diese Wände nicht mehr für Halle 3 gereicht haben.
    Autofahrer sind bei den Ökos vom CCC offenbar nicht ganz so willkommen. Wenn man erst mal einen halben Kilometer laufen muss, um vom Parkplatz zum Haupteingang zu kommen, ist das nicht schön. Da bietet das Messegeländer bessere Möglichkeiten.

  22. Guy Standing hat in der Tat einen inspirierenden Talk gehalten. Danke für den Hinweis, ohne diesen hätte ich ihn wohl nicht mehr angesehen. Eines der Zitate: “Being in the precariate you have to do a lot of work and you are treated as being lazy!” (nach der Erläuterung des Unterschieds zwischen Arbeit als ‘labour’ bzw. ‘work’) Das ist auf vielen Ebenen korrekt und treffend.
    Im Presse-Einspieler zum Kongress hat Linus wenn ich recht erinnere den Zusammenhang von technischem Fortschritt/Digitalisierung und dem Verlust von Arbeitsplätzen genannt. Ich finde, man muss aufpassen, dass man sich von den Argumenten der Vertreter des Status Quo nicht zu sehr vereinnahmen lässt. Technischer Fortschritt, vor allem der in der Wirtschaftstheorie so genannte arbeitssparende technische Fortschritt, hat immer einen Effizienzanstieg und bei zunächst angenommen gleichbleibendem Produktionsniveau die Freisetzung von Arbeitskraft zur Folge. Die entscheidende Frage ist: was passiert nun mit dieser Arbeitskraft. Für den Einzelnen kann das vor allem kurzfristig schlimme Folgen haben, ganz klar. Aber gesellschaftlich sind uns die Bedürfnisse nach Neuem nie ausgegangen und die Nachfrage nach Gütern hat auch immer wieder Nachfrage nach Arbeitskraft geschaffen. Das galt bei der Erfindung der Pflüge genauso wie bei der Einführung von Fließbandproduktion oder von Produktionsrobotern. Immer wieder standen wir als Gesellschaft an dem Punkt wo wir uns fragten: was mehr wollen wir denn noch? Und irgendwie wollten von irgendetwas mehr und der Bedarf nach Mehrarbeit in diesen Bereichen war da und es wurde weiter gearbeitet. Phasen von höherer Arbeitslosigkeit waren immer vorübergehend und weniger von technischem Fortschritt als von krisenhaften Zuständen und Zuspitzungen in Wirtschaft und Politik verursacht.
    Der paradiesische Zustand des immerwährenden Müßiggangs ist nach wie vor nicht erreicht und meine Hypothese ist, er wird auch nie erreicht werden, weil wir Menschen einen solchen Zustand gar nicht als begehrenswert sehen. Der technische Fortschritt ist für uns als Gesellschaft also nicht eine Bedrohung, sondern eine Chance auf eine größere Fülle an Möglichkeiten. Es ist daher mehr die Frage der politischen Machtverhältnisse, wie der Mehrwert aus dem Fortschritt auf alle verteilt wird und wie z.B. die Entlohnung der Arbeitenden aussieht. Da kommt Guy Standings Talk ins Spiel und hierzu bringt er hervorragende und inspirierende Argumente.

  23. Ich hätte eine Frage zu den Passwort Managern. Könntet ihr da eine Empfehlung aussprechen? 1Passwort ist mir ehrlich gesagt ein bisschen zu teuer, gerade weil es ja auch kostenlose Konkurrenzanbieter gibt. Welchem davon kann man trauen, welchen nicht? Was müssen die können? SO einen Part habe ich in dem Teil der Folge vermisst, auch wenn ich den insgesamt für super empfand.

    • Ich nutze Enpass, weil hier ein lokales Synchronisieren per webDAV möglich ist. Kostet mobil einmalig 10€, Desktop ist kostenlos (Ich glaube es gibt kostenpflichtige Features wie Touch ID). Ich denke, gerade für einen Passwortmanager kann man ruhig etwas bezahlen, man möchte ja auch, dass jemand weiter daran entwickelt, ggf. Sicherheitslücken schließt etc. 10€ finde ich fast zu wenig.
      Keepass ist natürlich eine Möglichkeit, aber ich möchte schon einen Manager, der mir die Zugangsdaten im Browser direkt einfügt auf Desktop und iOS. Enpass macht das sehr gut.

    • 1Password ist überhaupt keine Option, da die Passwörter hier auf fremden Servern landen. Dank Closed-Source kannst du auch nicht verifizieren, ob das verschlüsselt erfolgt. Wer seine Passwörter unbedingt loswerden möchte kann sie auch gerne mir geben, ich nehme nicht mal Geld dafür. ;)

      • Das stimmt beider nur so halb.
        Erstens kannst du 1PW auch nur lokal speichern, zweitens kannst du dir die verschlüsselte Datei anschauen. Da sie angeben, dass es AES sei, müsstest du sie auch entschlüsseln können.

        • Das kann gut sein, leider habe ich auf Anhieb keine Informationen dazu auf der Website gefunden und dem Produkt daher direkt wieder den Rücken gekehrt ohne es zu testen. Die Informationspolitik der Hersteller ist meiner Meinung nach echt schlecht, auch bei der Konkurrenz, daher nutze ich immer noch KeePass. Nirgends steht da an prominenter Stelle, dass es sich auch lokal ohne Cloud nutzen lässt, dafür werden die Cloud-Features gerne beworben. Selbst auf der Seite “Sicherheit” wird kein Wort darüber verloren (immerhin wir die Verschlüsselung beschrieben, da hast du recht).

  24. Gute und informative Sendung! Danke!

    Kann jemand empfehlen, wie man gut einen USB-Stick verschlüsselt mit der Möglichkeit, die Daten auch auf einem sehr eingeschränkten Windows-Rechner (Bibliothek, Uni, etc.) zu verwenden? Und gleichzeitig auch auf macOS/Linux? Natürlich nicht für meine sensibelsten Daten, wenn ich das Passwort an einem öffentlichen Rechner eingebe, aber so sensible, dass ein potentieller Finder/Langfinger nicht ohne weiteres Zugriff haben sollte.

  25. Könnt ihr euch nicht um den 20 Jährigen aus Mittelhessen kümmern. Der junge Mann braucht keine Häme, sondern ein bischen Aufmerksamkeit.

    Wäre lieb.

    Ihr alten Hasen traut euch ja zunehmend weniger. Hoffe die Bitte ist keine Zumutung. Er hat ja vieleicht aus Neid Youtuber mit viel Geld und Girls geärgert und Politiker verarscht.

  26. Warum links nicht anklicken, das habt ihr nicht beantwortet. Was wird schreckliches passieren.

    Vielleicht ist das eine blöde Frage, aber wenn ihr ein “infotainment”-Programm macht, müsst ihr damit rechnen, dass Blödis wie ich daherkommen und mehr wissen wollen.

    Würde es reichen, den link zu kopieren, dabei einen Buchstaben wegzulassen, und den beim pasten manuell einzugeben?

    • Das tatsächliche Ziel des Links kann ja ganz gut verschleiert sein in der Mail und beim Klick könnte dem Absender das Lesen der Email bestätigt oder Schadsoftware geladen werden.

      Meiner Meinung nach sollte kopieren, einfügen, überprüfen, aufrufen reichen oder ist wirklich gut möglich, in der Adresszeile des Browsers andere Zeichen zu zeigen, als tatsächlich aufgerufen werden?

      Allerdings würde ich nur kopieren, wenn der Link eine ID o.ä. enthält und es deshalb quasi nötig ist. Wenn PayPal mich auffordert mich einzuloggen, gehe ich natürlich direkt auf paypal.com

      • Copy+Paste behebt das Problem prinzipiell nicht!

        Die Gefahr besteht darin, dass der Link ein anderer ist, als man denkt.

        Beispiel:
        *www.googIe .de*
        ist nicht
        *www.google .de*.

        Sieht beides gleich aus? Im oberen ist das “l” ein großes “i”! Copy+Paste hilft hier gar nicht, sofern du nicht zufällig genau das “l” händisch neu tippst.

        Andere Variante: der *angezeigte* Text (in einer HTML-Mail) kann eine URL enthalten. Aber die ist eben nur anzeigt, der tatsächliche Link kann ganz woanders hinführen.

        Auch hier hilft Copy+Paste nicht, denn es ist möglich, dass ein (bösartiger) Teil des angezeigten Textes in Schriftgröße 0 dargestellt wird und entsprechend unsichtbar ist. Das kopiert man aber natürlich trotzdem mit.

        • Stimmt stimmt.
          Das erste Beispiel ist, je nach verwendetem Font in der Addresszeile, wirklich zum Teil nicht gut zu erkennen. Allerdings ist das auch kein besonders einfacher Angriff, weil man natürlich die entsprechende URL braucht. In dem Firefox auf der Windows-Maschine hier erkennt man das “I” außerdem sofort als solches.

          Das zweite Beispiel halte ich, sofern man noch etwas Hirn hinzunimmt, für gut erkennbar, weil Adresszeilen ja keine Formatierung erlauben.

          • Klar, wenn man davon ausgeht, dass man nach dem Kopieren noch mal alles kontrolliert (und weiß, worauf man gucken muss!), ist man natürlich safe.
            Andersherum kann man manuell abtippen, soviel man will; wenn man den XSS in der URL nicht verstehen oder zumindest identifizieren kann, fällt man dem Angriff immer zum Opfer.

            Aber es geht ja darum, Dinge nicht versehentlich übersehen zu können, und man übersieht sowas beim Lesen leichter als beim Schreiben ;)
            Man könnte vielleicht sagen “C+P” reicht nicht aus, “C+P+aktive Kontrolle” schon, falls man sich (leichtsinnigerweise ;) ) für aufmerksam genug hält.

            Und was die URL angeht: ich denke, wer sich die Mühe macht, Malware per Spam zu verschicken, kann auch locker noch eine Domain dazuregistrieren.
            Irgendwo muss der Link ja sowieso hingehen.

    • Ganz ganz simpel gesagt: Links per Auge zu kontrollieren ist schwerer als man denkt. Falls die Bank oder dein Online-Shop wirklich ganz dringend was Unerwartetes von dir will, womit du vorher nicht gerechnet hast: Nimm deinen üblichen Weg dorthin und nicht den, den dir (irgendjemand!) unter die Nase reibt.
      Du hast recht zu sagen, “wieso, geht doch”. Linus hat recht zu sagen “mach’s einfach nicht”.
      Gewisse Sachen “macht man nicht”. Und fast immer gibt’s dafür gute Gründe. Nicht alle müssen alles verstehen. Man tippt nicht auf dem Handy beim Autofahren. Aus Prinzip, und nicht, weil man selbst nicht Toller Hecht genug wäre, der das “ja schon kann”. Man schnallt sich an. Punkt.

  27. es gibt einen deutschen (Premium) webhoster
    der bietet für 5€ / Monat catch all email Adressen an
    auch für subdomains.
    also wenn man die domain
    @familienname.tld
    kann an anlegen:
    – *@mama.familienname.tld
    – *@papa.familienname.tld
    – *@kind.familienname.tld
    so hat jeder seinen eigenen Catch-All.
    Abgerufen werden kann via imap / pop oder webinterface

  28. Was mir noch im Podcast gefehlt hat die Sicherheitsimplikationen einer veröffentlichten Wohnadresse. Die Drohung von radikalen Kräften (z.B. Türkische Pro-Erdogan “Rocker” und AFD Freunden) gegen Böhmermann und co.

    Ausserdem bezog sich der “Angreifer” z.B. bei den Böhmermann Daten genau auf dessen anti-Rechts Initiative “reconquista internet”. (Kommentar in den Daten)

    Der wird ziemlich sicher eine politische Agenda gehabt haben!

  29. Wer jetzt auf die Idee kommt sich bei Uberspace (oder sonstwo) eine CatchAll Adresse einzurichten, dem seien bitte folgende Hinweise (aus dem Uberspace Wiki) ans Herz gelegt:
    “Unter Catchall versteht man, daß ein bestimmter E-Mail-Account als Empfänger aller E-Mails designiert wird, deren Empfänger unter einer bestimmten Domain eigentlich nicht existiert. In der Praxis hat dies zur Folge, daß so ein Account nach kurzer Zeit von Spam regelrecht überschwemmt wird. Ein weiterer Nachteil ist, daß mögliche Fehler bei der Adressierung von E-Mails nicht mehr auffallen. Wenn jemand z.B. an testuser@example.com eine E-Mail verschicken möchte, sich aber vertippt und die E-Mail an testusr@example.com schickt, dann würde sie normalerweise zurückgewiesen werden und der Absender würde eine Fehlermeldung erhalten. Ein erfahrener E-Mail User wüßte durch die Fehlermeldung dann sofort was zu tun ist und könnte reagieren. Bei aktiven Catchall wird die E-Mail aber nicht abgewiesen, sondern landet im Catchall-Account – für den Absender sieht es so aus als wäre die E-Mail erfolgreich zugestellt worden. Das ist gerade dann ärgerlich wenn es mal eilig ist und der Catchall-Account nur alle paar Tage gelesen wird. Hier besteht nebenbei gesagt übrigens die Gefahr einer Verletzung der Privatsphäre, denn bei E-Mails die im Catchall-Account landen ist ja davon auszugehen, daß sie nicht für denjenigen bestimmt waren, der den Catchall-Account liest.”
    Quelle: https://wiki.uberspace.de/mail:vmailmgr#catchall_einrichten

    • „In der Praxis hat dies zur Folge, daß so ein Account nach kurzer Zeit von Spam regelrecht überschwemmt wird.“

      Unsinn. Standard-Spamziele wie info@, webmaster@, mail@ usw löscht man automatisch weg oder erstellt dafür einen wegwerf-account, in den sie als alias zeigen.

      • Ich habe schon erlebt, dass ein Catch-All Account mit Unmengen $randomvorname.$randomnachname Mails bombardiert wurde.

        Linus, was hältst du von der Lösung:
        Wenn ich Kontrolle über meinen Mailserver habe, kann ich für das Subadressing auch ein anderes Zeichen, als das typische “+” verwenden. Ich verwende auch andere E-Mail-Usernamen die nicht meiner regulären E-Mail entsprechen, also z.B. fixerprefix.immerwasanderes@… – wobei der Punkt das Subadressing einleitet. (Ja, so kann man keine Vorname.Nachname Konten verwenden.)
        So werde ich nicht mit Spam-Mails geflutet und habe doch meine Haupt-E-Mail getrennt.
        Weiterhin kann ich durch die Änderung des Subadressings für jedem Online-Dienst erkennen wenn Mailadressen weitergegeben werden und leicht unerwünschte Nachrichten rausfiltern.

  30. Könnte eine verpflichtende, für normale Nutzer einsehbare login-history (bestehend zumindest aus: timestamp, falsches password-Eingabeversuch, erfolgreiches Login mit timestamp) nicht eine praktikable Möglichkeit sein? Dadurch hätten Account-Inhaber wenigstens die Chance zu bemerken, wenn jemand nicht autorisierte login-Versuche macht und könnten Alarm schlagen, wenn es schon das IDS nicht tut.

  31. Posteo erlaubt nur “normale” Sonderzeichen* beim Passwort und sagt dir dann nicht welche das sind und warum

    * Siehehttps://www.web-crap.com/erlaubte-sonderzeichen-bei-posteo/

  32. Dann werfe ich hier auch mal meine Kongress-Kommentare ab: Vorweg, ich war beim 34c4 nicht dabei, daher war es mein erstes Leipzig-Erlebnis. Für mein Gefühl war’s zu groß. Ich mache das an zwei Beobachtungen fest: Es gibt mehrere Leute, die definitiv auch auf dem Congress waren und denen ich nicht ein einziges Mal über den Weg gelaufen bin, obwohl ich nach ihnen Ausschau gehalten habe (aber es ging nicht soweit, dass ich mich mit ihnen verabredet hätte, dann hätte es natuerlich geklappt). Nur mal als Beispiel zu den hiesigen Hosts: Tim habe ich nur einem aus der Ferne zuwinken können, Linus rollerte nur einem kurz vor dem Jahresrueckblick an mir vorbei. Das ist insofern schade, dass ich es immer als besonderes Kongresserlebnis empfunden habe, was ich in Gebspraechen in sich spontan zusammengefundenen Runden gelernt habe. Das fehlte mir dieses Mal, dafür war es irgendwie zu anonym. Es war einfach zu viel Platz um sich aus dem Weg zu gehen. Das andere ist, dass ich es in Hamburg kuschliger fand, trotz aller Deko ist es in Leipzig nicht gelungen, die Optik einer Messehalle loszuwerden, etwas wie den Lounge-Bereich ganz oben im CCH gab es nicht bzw habe ich nicht gefunden.

    Ein weiterer Punkt ist das, was andere als Politisierung beschrieben. Dabei habe ich überhaupt nichts gegen diese Anliegen, Antifa, Hambi-Protest, Seenotrettung, Feminismus finde ich alle legitime Anliegen, die meine Unterstützung haben. Aber muessen sie deshalb relativ prominent auf dem Congress stattfinden? Verwässert man damit nicht vielleicht das Kernanliegen der Veranstaltung? Es steht der Verdacht im Raum, dass da andere auf dem Erfolg des Kongresses als Trittbrettfahrer aufspringen wollen und dadurch die Gefahr entsteht, dass die genuinen Hackeranliegen verwässert werden. Es war noch nicht so stark, dass es mich ernsthaft gestoert hätte, aber ich denke, dies ist eine Entwicklung, zu der der Congress eine Haltung entwickeln sollte.

    Das geht auch einher mit der Multiplikation der Vortragsprogramme. Ja, in absoluten Zahlen hat sich er offizielle Content nicht geändert. Aber zumindest mein Eindruck war, dass dieses Jahr der konkrete Aufruf an die Assemblies war, dass man auf seinem Bereich dann auch ein Bühnenprogramm anbieten sollte. Und da habe ich schon einen deutlichen Qualitätsunterschied zwischen dem offiziellen Programm und all dessen, was auf den diversen Assembly-Buhnen tat (positive Ausnahme insbesondere bei Chaos-West). Und ja, ihr habt meine Einreichung nicht ins offiizielle Programm aufgenommen und im Nachhinein muss ich sagen: zu recht. Was ich machen wollte, war als workshop wesentlich besser aufgehoben. Nur hätte das auch für vieles auf den Assembly-Bühnen gegolten. Da stimme ich Linus ganz und gar zu, hier sollte man zumindest allen klar machen, was offizielles 35c3-Programm ist und was irgendwer auf irgendeine Bühne gestellt hat. Hier würde ich auch eine Teilschuld bei der ansonsten grandiosen Kongress-App sehen, in der dieser Unterschied nicht sehr deutlich war (bzw man musst vorher wissen, was es bedeutet, wenn irgendwas auf Bühne X stattfindet). Das galt nachmehr, als irgendwann auch die Workshops in der App auftauchten. Ja, das war praktische für die Zeitplanung, aber eben nicht gut, wenn es darum geht, klar zu machen, was der offizielle kuratierte Content ist.

    Aber meine größte Beschwerde ist, dass ich dieses Jahr schon mit einer heftigen Erkältung angereist bin und diese nicht erst an Tag 4 auftrat.

    Aber davon ab, habe ich wieder tolle Vorträge gesehen (ich fand besonders die beiden über Voicemail und Fax bemerkenswert) und schöne Erlebnisse gehabt. Vielen Dank dafür an alle Beteiligten!!

    • Natürlich ist der Congress mitlerweile “zu groß” mit den damit verbundenen Problemen (Leute nicht mehr finden, lange Wege, die Chance dass es unter 17k Besuchern ein paar Idioten gibt im gegensatz zu 4k Besuchern, etc.).

      Aber: Was willst du tun? Der Andrang war so schon groß, denn ich kenne einige die keine Karten bekommen haben, und ich musste auch bis zur dritten Verteilung warten. Fakt ist, dass es keinen Weg gibt zurück zu dem kleinen elitären Congress, den du liebgewonnen hast.

      Vielleicht sind dann eher die kleineren Veranstaltungen des CCC etwas für dich. Das Camp soll immer sehr nett sein. Datenspure, Easterhegg, GPN.

      • Ja, ich wollte auch auf keinen Fall sagen, dass irgendwelche Leute, die da waren da nicht sein sollten (etwa weil sie früher™ auch nicht da waren. Nein, sollen alle kommen und am Congress Spass haben. Mein Problem ist glaube ich eher ein räumliches, dass alles so weitlaeufig ist, dass ich keinen Überblick mehr hatte. Dazu kam auch, dass meine Augen älter werden und in dem Halbdunkel, das überall herrschte, ich Leute noch mehr anstarren muss, als üblich, um rausfinden zu können, ob ich sie kenne oder nicht. Da war Hamburg auch irgendwie heller….

  33. Hallo,
    erst mal vielen Dank für die tolle Folge (nicht wegen den Themen sondern wegen der Aufarbeitung an sich ;)).

    Ich habe eine Frage zum Thema Email Client (z.B. Thunderbird) vs. Email WebApp.
    -> Wie steht es mit sauberer Integration von PGP in den WebApps as, habe da mit den Browser Erweiterungen immer große Bedenken. Was kann man da empfehlen?

    Gruß,
    Markus

  34. Zum Thema “Leichtsinn” und “Bequemlichkeit” der Nutzer, Bewusstseinsbildung in der Bevölkerung für Datensparsamkeit etc.: Es ist so dermaßen leicht, peinliche Fehler zu machen. Habe seit ca. 20 Jahren einen Mailaccount, sozusagen meinen Hauptaccount, daneben immer mal kleinere Wegwerfadressen. Arbeite vor allem über Outlook, mit denen die wollen verschlüsselt, und habe dort 20 Tage fürs Löschen der Mails auf dem Server eingerichtet. Und irgendwann haben die entweder Einstellungen verändert oder ich hab irgendwann ein Häkchen falsch gesetzt, jedenfalls wurden auf einmal nicht mehr alle über Outlook versendeten Mails gelöscht. Nur noch die im Eingang. Und nur den hab ich immer mal im Browser gecheckt. Kürzlich entdecke ich also meine jahrelange Sendehistorie, dank Reply natürlich auch den halben Eingang. AUTSCH. Das nur mal so als Beispiel. Da gibt man sich Mühe, aber wenn man die Konfiguration aller Kommunikationskanäle und regelmäßige Prüfung nicht zu einem Vollzeitjob werden lassen will, muss man als Laie alle paar Jahre durch sowas durch und kann nur hoffen, dass im kritischen Zeitraum keiner irgendwelche Daten von einem selbst und natürlich den Kommunikationspartnern abräumt …

  35. Linus hatte gesagt, man sollte darauf achten, dass man das OS, Apps, etc. immer auf dem aktuellen Stand hat… aber leider werden ja auch gelegentlich mal fehlerhafte Updates ausgeliefert, z.B. fehlerhafte AV-Signaturen oder das große Win10-Update vor ein paar Wochen/Monaten (und ja, jetzt geht das Bashing los und es heißt “nimm doch Linux-Distri xy)… gerade in Firmen ist es daher doch durchaus üblich, Updates nicht immer sofort einzuspielen und seit dem MS-Theater wird ja auch Privatanwendern immer wieder gesagt, dass man erstmal abwarten soll, ob es Probleme mit einem Update gibt…

    • “gelegentlich” werden fehlerhafte Updates ausgeliefert, Schwachstellen auf veralteten Systemen werden aber “immer” ausgenutzt.
      Pick your side.

      Natürlich prüft man Updates im Unternehmensumfeld, bevor man sie in der Breite ausrollt. Ich kenne aber kaum Fälle von Privatanwendern, die gehackt wurden weil sie Updates gemacht haben, oder noch besser: nicht gehackt wurden, weil sie keine gemacht haben.

  36. E-Mail-Catch-all gut und schön, ich habe sogar die Möglichkeit dazu.
    Aber ich verstehe noch nicht, wie ich das mit Diensten machen soll, deren Mails ich regelmässig mitbekommen möchte. Amazon soll mich zeitnah erreichen dürfen, wegen Versandbenachrichtigungen, Antworten auf meine Fragen zu Produkten etc., aber ich möchte nicht, dass eine Amazon-Passwort-Rücksetzung auf meinem Client ankommt. Hmm. Ist das von Linus nicht zuendegedacht oder von mir? Ich vermute Letzteres.
    Weiss jemand Rat?

    Zweites Thema, der zu unübersichtliche Kongress. Ich wäre verloren gewsen, wenn ich nicht beides Mal frühzeitig da gewsen wäre, das Ding beim Wachsen sehen und mich langsam gewöhnen kann an die Umgebung. In genau “die richtigen” Veranstaltungen zu kommen ist mir praktisch nicht gelungen, trotz sorgfältigem Vorab-Parsen des riesigen Angebots. Zur Laufzeit war meine Aufmerksamkeit irgendwo, aber nicht mehr bei der App. Ja, ich weiss, es gibt Benachrichtigungen, Kalenderexport usw, aber das erhöht den Aufwand ja auch, anstatt alles nur einfacher zu machen
    Dazu eine Idee.
    Vielleicht könnten die Veranstaltungen mit den eigenen Interessen gefiltert werden in der Fahrplan-App. Es müsste natürlich alles dazu hübsch sinnvoll durchgetaggt sein. Die App wiederum könnte dann brummen und piepsen bis sie meine Aufmerksamkeit gezogen hat, wenn mein 5-Sterne-Spezialinteresse auf einen nahenden Talk trifft, der ebenfalls 5 von 5 Wichtigkeitspunkten bei dem Thema hat.
    Beispiel: Habe “Satire” als Tag gewählt und für mich hoch priorisiert. Das selbe wurde mir Sonneborns Vortrag gemacht. Eine halbe Stunde vor Vortrag (die ungefähre Dauer der Vorwarnzeit habe ich selber eingestellt, je nachdem, wie mobil ich zB bin) gibt die App Alarm. Reagiere ich nicht auf die Notification, nochmal ne Viertelstunde vor Termin um so aufdringlicher.
    Ach ja, und die Benachrichtigungen kommen nicht einfach so unverhergesehen, es gibt so etwas wie eine Timeline, einen grafischen Zeitstrahl für den kommenden Rest des Tages, der an der Stelle meines must-have-Vortrages so schön dick ausklumpt, rot wird, und dabei noch pulsiert. Oder so. Ein bisschen mehr analog halt. Was denkt ihr? Ist das Durchtaggen schaffbar, und könnte das crowdbasiert passieren?

    • aber ich möchte nicht, dass eine Amazon-Passwort-Rücksetzung auf meinem Client ankommt. Hmm. Ist das von Linus nicht zuendegedacht oder von mir? Ich vermute Letzteres.

      Wieso willst du nicht, dass die auf deinem Client ankommt?

      Das Ziel der Übung ist nicht, dass du die Mail nicht bekommst, sondern dass sie in einem anderen Postfach landet als dem, das der Angreifer übernommen hat.

  37. Danke für den Exkurs in: Wie schütze und sichere ich meine Daten.

    Wo finde ich denn grundsätzlich richtige (sichere) Anleitungen, wie ich das alles praktisch umsetze? Google spuckt viel aus, aber was würdet ihr als Quelle empfehlen, die weiß, wovon sie da spricht/schreibt?
    Ich finde die Idee mit den verteilten Backups ganz clever ;-)

  38. Ich habe eine konkrete Frage zu Verwendung eines Passwortmanagers:

    Grundsätzlich will/muss ich den Safe zwischen verschiedenen Geräten synchronisieren. Viele Anbieter haben da mittlerweile auf eine eigene Cloud umgestellt (LastPass/1Password). Mir widerstrebt es irgendwie, meinen Safe da abzulegen.

    Anderseits ist eine “private” Synchronisierung über iCloud/Dropbox oder ähnliches ja eigentlich auch nix anderes. Es fühlt sich aber irgendwie nicht so schlimm an.

    Welches Risiko ist größer?
    Das ein darauf spezialisierter Anbieter wie 1Password gehackt wird oder meine private Dropbox/ein privater Rechner, der darauf Zugriff hat?

    • Da die gespeicherten Daten (hoffentlich) ordentlich verschlüsselt und mit langem Passwort gesichert sind, sollte es (hoffentlich) egal sein, wenn der Safe in fremde Hände fällt. Das jedenfalls ist der Anspruch, den wir an Verschlüsselung stellen.

  39. Wo bekomme ich denn grundsätzlich Informationen zum Thema Verschlüsselung, verschlüsselte Backups, etc. ?

    Ich habe das Problem, dass ich natürlich sehr viele Informationen finde, aber nicht einschätzen kann, ob die Quelle wirklich kompetent/vertrauenswürdig ist.

    Welche Programme sind z.B. für Windows/Mac/Linux empfehlenswert, um Dateien mit AES zu verschlüsseln, um den “Linusschen Eichhorn” zu machen?

  40. Wie sieht es den beim Spenden mit NOYB und Digital Courage e.V. aus?

    Und wie seht ihr das mit E-Mail Programm versus Webmail wenn ich für IMAP auf 2FA verzichten muss? Wäre da nicht Webmail dann besser?

    mailbox.org auch aus Berlin macht CatchAll und hat dabei die gleichen Features wie Posteo mit sowas wie PGP-Verschlüsselung aller eingehenden Emails und so.

    • Wie sieht es den beim Spenden mit NOYB und Digital Courage e.V. aus?

      Stimmt, ich habe NOYB vergessen!

      Und wie seht ihr das mit E-Mail Programm versus Webmail wenn ich für IMAP auf 2FA verzichten muss? Wäre da nicht Webmail dann besser?

      Für IMAP gibt es bei einigen Anbietern dann App-Tokens. Das bedeutet eigene Passwörter für jedes Gerät und jede App, die man nach einmaliger 2FA bekommt. Siehe dieser Thread.

  41. Könnt ihr Daueraufträge eigentlich erkennen?

    Ich möchte auch gerne etwas Geld verteilen, habe aber wenig Lust auf Unmengen Minitransaktionen auf meinem Kontoauszug. Daher würde ich gerne einen jährlichen Dauerauftrag erstellen, der für euch trotzdem ein verlässliches Einkommen darstellt.

    • Ja, Daueraufträge sind in der Regel in den Metadaten der Banküberweisung als solche gekennzeichnet. Bitte im Verwendungszweck “LNP” reinschreiben und falls Deine Bank es doch nicht leistet, kannst Du auch “Dauerauftrag” dazuschreiben, schadet nichts. Vielen Dank für Deine Unterstützung.

  42. Thema Netzpolitische Investments: Wie ist eigentlich so der Konsens zur EFF? Natürlich ist der Verein leider primär in den USA, aber scheinbar haben die auch einen Zweig in Europa. Ich weiss nicht wie die Erfolge der EFF bislang so aussehen.

    • Als CCC pflegen wir eine enge Freundschaft zur EFF, die so weit geht dass wir Kurt Opsahl beim 35C3 mit einer Rede von Cory Doctorow im Jahresrückblick hatten.
      Thema: Article 13

      Ich habe mich in den Empfehlungen erstmal auf deutsch / deutschsprachigen Raum beschränkt, wahrscheinlich eine unnötige und falsche Einschränkung. Wichtig ist daher bitte, genau wie du es machst bei der Frage zu bleiben „was haben die Römer je für uns getan?“

  43. Mein Catch-all Anbieter: all-inkl.de
    Kostet fast nix und der Support antwortet zu jeder Tages und Nachtzeit binnen weniger Minuten. Experimentiert wenn’s nötig ist sogar am Telefon mit einem herum.
    Was ich arg finde ist, daß die die Passwörter der (unlimitierten!!) Mailaccounts unverschlüsselt dem Admin anzeigen. Davon abgesehen ein sensationeller Hoster!

    Zur Sicherheit von Pwd-Managern: mal ehrlich – wie viele kritische Passwörter hat man denn so? Für die paar wichtigen hab ich im KeePass stehen “Level 1”, “Level2” etc. und die sind dann halt ausschließlich in meinem Hirn abgespeichert.

  44. Wie hältst du die Backups aktuell? Oder nimmst mit deiner Eichhörnchen Strategie einfach in Kauf, dass du eventuell nur Backups wiederfindest, die die Daten der letzten paar Jahre nicht beinhalten?

    • Es gibt Orte, die ich öfter besuche und Orte die ich seltener besuche. Ebenso gibt es Backups die aktueller sind uns Backups die weniger aktuell sind.

      Die Verteilung der Backups über die Orte kannst du dir denken – die interkontinentalen Backups werden ja hoffentlich auch erst nach Trumps nuklearem Erstschlag relevant.

      Bis dahin reicht es zum Beispiel auch, 2 Time Machine Backups jeden $Wochentag zu rotieren und abwechselnd eins am Arbeitsplatz zu lagern. Full Disk Encryption nicht vergessen!

  45. @Linus: Ich habe deinen Vortrag noch nicht gehört. Aber ist nicht eine der wichtigsten opsec-Regeln, Klappe halten? Also vielleicht allgemein über Prinzipien und Handlungsoptionen sprechen, aber nicht über die eigene Strategie – auch bzw. gerade wenn sie cool ist. ;)

  46. Zum Thema ausgedruckter Plan oder Müllvermeidung: Ich finde man muss auch ohne Smartphone und Laptop den Kongress besuchen können. Was meint Ihr? Bin nämlich selbst so ein Fall :-)

  47. Introvideo sah gut aus, aber war soundtechnisch ein Katastrophe, weil total übersteuert. Hat den Start in den Congress etwas kaputt gemacht.

  48. Hallo Tim, hallo Linus,

    toll, dass ihr konkrete Hinweise gebt wie man seine persönliche IT-Sicherheit steigern kann!

    Zur Eichhörnchen-Backup-Strategie, die für mich übrigens mit der ersten Kopie der Daten an einem anderen als dem “Produktivdatenstandort” anfängt, habe ich eine grundsätzliche Frage und ein paar Überlegungen:
    Was ist ein gutes Backup für die Passwortspeicherdatei, das Passwortspeicherpasswort und die gewählten Passwörter zur Festplattenverschlüsselung der einzelnen Backups?

    Die Passwortspeicherdatei in die Cloud zu legen, halte ich für keine gute Idee, weil man sich dort nicht sicher sein kann, dass sie tatsächlich gelöscht wird, wenn man sie zum Löschen markiert hat (so wie mit allen Daten in der Cloud). Man muss außerdem hoffen, dass ein Angreifer die Verschlüsselung der Datei nie brechen wird oder das Passwort für die Datei nie erhält. Ohne die Passwortspeicherdatei kann ein “Angreifer in der Cloud” den Inhalt auch nie erfahren.
    Es ist irgendwie naheliegend jede Eichhörnchen-Backup-Platte mit einem anderen Passwort zu verschlüsseln und diese ebenfalls im Passwortspeicher zu speichern, weil man so nur die Passwortspeicherdatei und ihr Passwort zur Wiederherstellung eines Backups benötigt. Aber wo legt man beides nun “sicher” ab? Eignet sich eine kleine unverschlüsselte Partition auf Eichhörnchen-Backup-Platte oder ein USB-Stick für die Passwortspeicherdatei?
    Das Passwortspeicherpasswort könnte man auf Papier schreiben und an zwei hoffentlich sicheren Orten platzieren. Zusätzlich in zwei Teile schneiden und diese an vier vertrauenswürdige Personen geben, die sich der Wichtigkeit bewusst sind und ihren Teil nicht verlegen. Eigentlich möchte man aber niemandem vertrauen müssen. Wenn man sein Passwortspeicherpasswort ändert wäre auch einiges zu tun.

    Mein Provider für Catch-All und nahezu alle sonstigen IT-Security-Features hinsichtlich Domains/Mailing ist UDMEDIA. Hat jemand schon mal schlechte Erfahrungen mit denen gemacht?

    Telegram wurde von Linus als nicht besonders sicher bezeichnet; vermutlich wegen der Zwangsverknüpfung von Id und Telefonnummer und den Strafverfolgungsbehörden, welche sich dies bereits zu nutze gemacht haben. Ist Threema eine “Empfehlung”? Hier ist diese Verknüpfung freiwillig, dafür aber sehr viel closed-source.

  49. Mal wieder eine tolle Folge, dafür viel Lob für euch! LNP und Freakshow sind die einzigen Podcasts die ich immer und in voller länge höre (wenn auch zeitlich versetzt, sonst schaffe ich es gar nicht).

    Ein Punkt ist mir unklar: Bringt ein regelmäßiger Passwortwechsel wirklich mehr Sicherheit? Ich dachte diese Auffassung ist längst überholt?! Klar, wenn jemand mein Passwort erfährt und ich es zum richtigen Zeitpunkt geändert habe, dann kann er nichts mehr damit anfangen. Aber ist das realistisch? Ich halte es für viel realistischer, dass das Passwort einfacher ausfällt oder sich erratbare Teile des Passwortes ändern, weil man es eben regelmäßig ändert (ändern muss). Meine Schlussfolgerung: Als Folge der menschlichen Faulheit sind Passwörter die regelmäßig geändert werden müssen vermutlich schwächer.

    Wenn die Passwörter generiert sind fällt der Punkt natürlich weg, aber es ging (wenn ich mich richtig erinnere) um das Master-Passort für den Passwortmanager und das muss man sich ja schon noch selbst merken.

Schreibe einen Kommentar zu Turysaz-im-Internet Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.