Aktueller Sicherheitshinweis des Providers (3.8.2013)
Die letzten Wochen bestätigen mit Snowdens Veröffentlichungen, was IT'ler schon lange vermutet haben, aber aufgrund der benötigten finanziellen, technischen und personellen Ressourcen nicht für realisierbar hielten. Die veröffentlichten Dokumente zeigen leider eine Gegenwart, die an Orwells 1984 erinnert. Aus dem gegebenen Anlass ändern sich einige Sicherheitseinstellungen an den von mir eingesetzten Servern. Diese betreffen: A) Emailübertragung B) SSL/TLS verschlüsselte Webseiten C) FTP-Kommunikation D) Tips zum Thema Datenschutz und zum Schutz der Privatsphäre A) Emailübertragung Ab dem 16.08.2013 ist keine unverschlüsselte Datenübertragung zu dem Emailserver mehr möglich. Für den Fall, dass Sie momentan Ihre Emails über ein Emailprogramm unverschlüsselt abrufen und senden, müssen Sie die Einstellungen in Ihrem Emailprogramm ändern. Ich habe dazu ein Dokument verfasst, welches die Änderung für gängige Email-Programme beschreibt. Dieses finden Sie unter http://zipmedia.de/dl/mailclients_ssl_zm.pdf. Die Umstellung ist notwendig, da bei einer unverschlüsselten Datenübertragung neben den Emails auch der Benutzername und das Kennwort unverschlüsselt über das Internet übertragen wird. Emails und Login-Daten werden von der NSA im Rahmen des XKeyscore-Programms gesammelt und ausgewertet (siehe Kölner Stadt Anzeiger, 2. August 2013, Seite 03 und http://www.heute.de/Die-Spionage-Werkzeuge-der-NSA-29101804.html). Somit ist allzeit ein Zugriff auf die Emailkonten über die gespeicherten Logindaten möglich. Sämtliche von mir eingesetzten Server stehen in Deutschland. Auch bei einer landesinternen Kommunikation können Datenpakete aufgrund des nicht vorherbestimmten Weges auf die NSA-Server gelangen. Leider benutzen ca. 80% der Emailbenutzer meiner Server noch eine unverschlüsselte Übertragung. Sollten Sie zu den 80% gehören, müssen Sie bis zum 16.08.2013 die Änderungen an Ihrem Email-Programm vornehmen. Andernfalls können Sie nach diesem Datum keine Emails mehr empfangen und versenden. Zudem sollten sämtliche Emailbenutzer unbedingt Ihr Email-Kennwort ändern, da es aufgrund der vorherigen SSL-Einstellungen des Servers möglich war SSL-Verbindungen zu entschlüsseln und die Kennwörter zu extrahieren (siehe dazu auch Punkt B). Zudem wurde im Mai die Kennwort-Verschlüsselung auf dem Server zur Abwehr von Datendiebstahl verbessert […]. Sie können Ihr Kennwort über https://kunden.zipmedia.de/kundencenter, nach dem Login mit Ihrer Emailadresse und Ihrem Kennwort, ändern. B) SSL/TLS verschlüsselte Webseiten Die Verschlüsselung von auf dem Server liegenden Webseiten wurde verstärkt. Dies betrifft auch den Webmailer und das Kundencenter. Bisher war es möglich über SSL/TLS verschlüsselte Kommunikation wieder zu entschlüsseln. Mit der Umstellung auf Perfect Forward Secrecy (PFS) wird dies nun erschwert. Siehe auch: http://www.heise.de/security/artikel/Zukunftssicher-Verschluesseln-mit-Perfect-Forward-Secrecy-1923800.html. Ich empfehle allen Webmail- und Kundencenter-Benutzern Ihr Kennwort neu zu setzen. Dies können Sie unter https://kunden.zipmedia.de/kundencenter nach dem Login mit ihrem Benutzernamen (bei Emailkonten ist dies die Email-Adresse) und dem Kennwort neu zu setzen. Leider ist Perfect Forward Secrecy nur mit Browsern der neuesten Generationen möglich und seltsamerweise vermeiden sämtliche Internet Explorer-Generationen die PFS-Nutzung mit meinen Servern. Ich empfehle auf die neueste Version Ihres momentan genutzten Browsers zu aktualisieren und meine Empfehlungen unter Punkt D zu beachten. C) FTP-Kommunikation Ab dem 16.08.2013 ist keine unverschlüsselte Datenübertragung zu dem FTP-Server mehr möglich. Dies hat die unter A genannten Hintergründe. Falls Sie ein FTP-Konto für den FTP-Server nutzen, stellen Sie bitte in Ihrem FTP-Programm die Kommunikation auf FTP (TLS) um (manchmal auch FTPS genannt). Hierzu habe ich keine Anleitung erstellt, da eine zu große Vielfalt von FTP-Programmen existiert. Sollten Sie bisher unverschlüsselten FTP-Transfer genutzt haben, bitte ich Sie auch das Kennwort des FTP-Benutzers im Kundencenter zu ändern. Sollten Sie nicht selbst der Administrator der Domain […] sein, müssen Sie diesen um eine Passwortänderung bitten. Nach dem 16.08.2013 ist keine unverschlüsselte FTP-Kommunikation mehr möglich. D) Tips zum Thema Datenschutz und zum Schutz der Privatsphäre Die oben genannten Änderungen unternehme ich aufgrund des Datenschutzes und dem Schutz der Privatsphäre zu dem ich mich verpflichtet fühle. Der Duden schreibt zu Datenschutz: "Schutz des Bürgers vor Beeinträchtigungen seiner Privatsphäre durch unbefugte Erhebung, Speicherung und Weitergabe von Daten, die seine Person betreffen." Der Duden schreibt zu Privatsphäre: "private Sphäre, ganz persönlicher Bereich" In den Aktionen der NSA liegt eine unbefugte Ergebung und Speicherung von Daten und in der Weitergabe durch deren Kooperationspartnern eine unbefugte Weitergabe von Daten zu sehen (siehe auch http://www.fr-online.de/datenschutz/nsa--diese-firmen-geben-daten-weiter-,1472644,23893778.html ). Hier einige Anmerkungen zum besseren Selbstschutz 1.) Browser 2.) Suchmaschine 3.) Emailprogramme und Email-Verschlüsselung 1.) Browser Bei der Umstellung auf Perfect Forward Secrecy ist mir aufgefallen, dass sämtliche Generationen des Internet Explorers anstatt der Perfect Forward Secrecy ältere Verschlüsselungsverfahren mit meinen Servern aushandeln. Die vorhandenen Schnittstellen zwischen anderen Microsoft-Produkten und der NSA kann dem ein gewolltes Verhalten unterstellen (siehe http://www.sueddeutsche.de/digital/snowden-vorwuerfe-gegen-microsoft-nsa-darf-verschluesselte-mails-lesen-1.1719822 ). Da aktuell immer mehr Webserverbetreiber ihre Webserver auf PFS umstellen, kann ich den Einsatz der Internet Explorer Generationen bis einschliesslich Generation 11 nicht empfehlen, da diese bei Servern mit PFS dazu neigen unsicherere Verfahren zu nutzen. Als Alternativen bleiben Google Chrome, Mozilla Firefox, Safari und Opera. Aufgrund der weitreichenden Vernetzung amerikanischer Firmen zur NSA (siehe http://www.zeit.de/news/2013-08/01/geheimdienste-hintergrund-enthuellte-ueberwachungsprogramme-01084206 ) empfiehlt sich nur die Nutzung von Opera. Bei Opera handelt es sich um einen Browser der von einer norwegischen Firma unter Beachtung der europäischen Datschutzgesetze entwickelt wird. Opera ist kostenfrei erhältlich und aktuell in der Version 12 für Desktop-PCs und in der Version 15 für Geräte mit Touch Display erhältlich. 2.) Suchmaschine Google entwickelte sich im vergangenen Jahrzehnt zu der meistbenutzten Suchmaschine und hatte in den vergangenen Jahren den Spitznamen Datenkranke. Leider zeigen Snowdens Veröffentlichungen auch eine Vernetzung zwischen Google und der NSA. Durch die massenhafte Datensammlung von Google liefert Google einen großen Datenpool für Auswertungen jeglicher Art. In den letzten Wochen nahmen die Nutzerzahlen von DuckDuckGo (duckduckgo.com) aufgrund dieser Verbindung stark zu. Bei dem Unternehmen handelt es sich leider um ein amerikanisches Unternehmen, welches aber als besondere Zielsetzung den Datenschutz der Nutzer sieht. Es werden keine IP-Adressen gespeichert und keine Nutzerprofile angelegt. (siehe http://de.wikipedia.org/wiki/DuckDuckGo ). Die Nutzung solcher Suchmaschine ist zu empfehlen. 3.) Emailprogramme und Email-Verschlüsselung Bei der Nutzung von Emailprogrammen sollte eine verschlüsselte Datenübertragung eingestellt (siehe A) und eine Verschlüsselung von Emails über Public-Key-Verfahren genutzt werden. Leider ist eine Public-Key-Verschlüsselung für manche Anwender zu umständlich. Ich empfehle sich über Public-Key-Verschlüsselung zu informieren, oder sich beraten zu lassen. Für Mac OS Benutzer existieren die GPGTools für Apple Mail ( https://gpgtools.org ). Wer auf ein europäisches Mailprogramm setzten möchte, kann sein Emailkonto auch über das unter 1.) genannte Opera nutzen. Mit freundlichen Grüßen Thomas Partsch -- zitro® technologies Inhaber: Thomas Partsch B.Sc. (Hons) Computer Science B.Sc. Technische Informatik Waldenburger Str. 15 51491 Overath Tel: 02206 / 94 94 212 Fax: 02206 / 94 94 213 http://www.zitro-technologies.de