Ich persönlich finde es zunehmend beängstigend, wie sorglos die meisten Nutzer nach wie vor mit ihrem mächstigsten Schutzwerkzeug, dem Passwort umgehen. Und das im Jahr 2019! Ich würde sogar die These stützen, dass diese Sorglosigkeit, vermutlich vor allem vor dem Hintergrund von Komfort und auch ein Stückweit Bequemlichkeit eher zunimmt. Das Hasso-Plattner-Institut hat aktuell wieder seine Liste der beliebtesten Passwörter der Deutschen des Jahres 2019 veröffentlicht. Ein Blick in diese Liste muss einen schon einigermaßen nachdenklich stimmen.

Nach wie vor nutzen unglaublich viele Menschen dabei Passwörter wie "123456", "password" oder "qwertz". Diese können nicht nur unglaublich leicht erraten werden, es sind in der Regel auch die ersten Varianten, die bei Brute Force Angriffen getestet werden. Nach wie vor gilt, dass Passwörter aus einer möglichst langen Zeichenkette bestehen sollten, die nach Möglichkeit sowohl Groß- und Kleinbuchstaben, als auch Zahlen und Sonderzeichen enthalten sollte. Zudem sollten nie dieselben Passwörter für mehrere Dienste genutzt werden. Dennoch lauten die Top 10 der beliebtesten Passwörter in diesem Jahr:

1. 123456
2. 123456789
3. 12345678
4. 1234567
5. password
6. 111111
7. 1234567890
8. 123123
9. 000000
10. abc123

Zur Herkunft der Daten schreibt das HPI:

Die Daten stammen aus dem HPI Identity Leak Checker, dem Online-Sicherheitscheck des HPI. Datengrundlage sind allein dieses Jahr 67 Millionen Zugangsdaten die auf E-Mail-Adressen mit .de-Domäne registriert sind und 2019 geleakt, also veröffentlicht wurden. Insgesamt wurden dieses Jahr 178 solcher Datenlecks, in den Identity Leak Checker eingepflegt, 96 davon wurden von den Diensteanbietern bestätigt.

Da sich sichere Passwörter natürlich nur schwer merken lassen, stehen inzwischen verschiedene Passwortmanagement-Apps zur Verfügung. In der Apple-Welt enthält der Safari-Browser eine Option, Passwörter zu generieren. Zudem können diese hier auch im iCloud-Schlüsselbund gespeichert werden, so dass sie auf allen verbundenen Geräten komfortabel zur Verfügung stehen.

NordVPN, der Anbieter von verschiedenen Sicherheitslösungen wird den meisten meiner Leser inzwischen sicherlich etwas sagen. Ich nenne ihn immer mal wieder zwischendurch im Rahmen von Rabattaktionen oder im Zusammenhang mit thematisch passenden Inhalten, mit denen sich die NordVPN-Produkte wunderbar nutzen lassen. Das bekannteste Produkt ist dabei sicherlich der VPN-Dienst, zu dem es aktuell mal wieder eine interessante Promo-Aktion gibt. Im Rahmen des Cyber-Deals erhält man dabei wie gewohnt von NordVPN 3 Jahre lang eine sichere und verschlüsselte VPN-Verbindung zum Preis von nur € 3,17 pro Monat PLUS (und das ist neu!) drei Monate kostenlos obendrein. Und als sei das noch nicht genug, erhält man im Black Friday/Cyber Monday Deal auch noch das neue NordVPN-Produkt namens NordLocker mit dazu.

Eine VPN-Verbindung ist in der heutigen Zeit aus gleich mehreren Gründen Gold wert. Zum einen werden die Daten hiermit über einen verschlüsselten Kanal im Internet übertragen, so dass man sich auch keine Gedanken über seine Daten machen braucht, wenn man einmal in einem öffentlichen WLAN surft oder gar Onlinebanking betreiben muss. Zum anderen hat man hierüber auch die Möglichkeit, das bei verschiedenen Diensten immer noch geltende Geoblocking zu umgehen. Benötigt werden hierfür lediglich die NordVPN Apps für das iOS-Gerät (kostenlos im AppStore) bzw. für den Mac (kostenlos im Mac AppStore).

Bei NordLocker handelt es sich um ein Tool zur sicheren Verschlüsselung von beliebigen Dateien. Der eine oder andere mag sich evtl. noch an das gute alte TrueCrypt erinnern. Dieses wird bereits seit einiger Zeit nicht mehr weiterentwickelt und da es sich dabei um eine 32-Bit App handelt, ist sie unter macOS Catalina nicht mehr lauffähig. NordLocker versucht diese Lücke nun zu füllen und bietet hierzu eine benutzerfreundliche App, über die sich Dateien ganz einfach per Drag&Drop verschlüsseln lassen. Anschließend kann man sie dann mit ausgewählten Benutzern teilen oder ablegen wo immer man möchte.

Apples Head of Security Engineering and Architecture Ivan Krsti? wird an der diesjährigen Black Hat Sicherheitskonferenz teilnehmen und dort auch einen Vortrag zum Thema iOS und macOS Security halten. Bei der Black Hat Konferenz handelt es sich um eine Veranstaltung für Securityexperten aus aller Welt, bei der sich diese zu den aktuellen Themen rund um das Thema IT-Sicherheit austauschen können. Der Ankündigung zufolge beschäftigt sich der Vortrag von Ivan Krsti? mit verschiedenen Kerntechnologien, die Apple in iOS 13 und beim Mac einsetzt, zu denen unter anderem Pointer Authentication Codes in den aktuellen iPhone-Chips, der T2 Security-Chip im Mac und auch die Verschlüsselung in der neuen "Find My"-App unter iOS 13 und bei macOS Catalina. gehören.

Die diesjährige Black Hat Konferenz findet im Zeitraum zwischen dem 03. und dem 08. August im Mandalay Bay Resort in Las Vegas statt. Ivan Krsti? ist dabei kein unbekannter Gast auf dem Event und hat unter anderem vor drei Jahren einen Vortrag zu neuen Sicherheitsfunktionen in iOS 10 gehalten.

Eines muss man ihnen lassen, das israelische Sicherheitsunternehmen Cellebrite hat sich in der iOS-Szene durchaus eine gewisse Bekanntheit erarbeitet. Vor allem deswegen, weil man sich auf das Knacken von iOS-Geräten spezialisiert hat. Die meisten werden sich sicherlich noch an die GrayKey-Box von Grayshift erinnern, eine kleine Kiste, an die ein iPhone oder iPad angeschlossen werden konnte, um hierauf dann einen Brute-Force-Angriff zu initiieren, der auf das Knacken des PIN-Codes abzielte. Auch Cellebrite arbeitet in diese Richtung. Apple hat seit Bekanntwerden der Methode verschiedene Sicherheitsmaßnahmen in iOS eingebaut, die diese Form des Knackens eines Geräts verhindern sollen und auch erfolgreich verhindert haben.

Nun erklärt Cellebrite jedoch auf Twitter, dass man mit einer neuen Version seines Universal Forensic Extraction Device wieder in der Lage sei, sämtliche iOS-Geräte bis hin zu iOS 12.3 zu entsperren. Auf seiner Webseite wirbt das Unternehmen damit, dass das neue UFED Premium die derzeit einzige Lösung am Markt sei, die es Strafverfolgungsbehörden ermöglicht, auf die Inhalte von gesperrten iOS- und Android-Geräten zuzugreifen.

Die Kollegen von Wired berichten indes, dass jede Behörde das Gerät erwerben kann, was es für Cellebrite schwierig macht, seine eigene Technologie zu schützen. Unter anderem konnten Anfang des Jahres Cellebrite-Produkte, die eigentlich ausschließlich für Strafverfolgungsbehörden gedacht sind, für um die 100,- Dollar von jedermann auf eBay erworben werden. Dies öffnet natürlich auch für Hacker und andere zwielichtige Gesellen Tür und Tor für Angriffe auf iOS-Geräte. Eine Entwicklung, die mit Sorge zu betrachten ist.

Ich persönlich bin kein großer Freund von Smart Home Geräten, vor allem nicht von solchen, die nicht nur Informationen zur Verfügung stellen, sondern bestimmte Dinge steuern können. Smarte Türschlösser, Rolladen und sonstige Dinge bergen ganz einfach viele Gefahren, die von den meisten Nutzern in Anbetracht des Komfortgewinns gerne ausgeblendet werden. Zwar fühle ich mich selbst bei solchen Aussagen immer ein wenig innovationsfeindlich, da ich allerdings meinen Berufsschwerpunkt im Bereich IT-Netzwerke habe, bilde ich mir ein, einen besseren Einblick in die Thematik zu haben, als der Ottonormal-Verbraucher. Es fehlt in Sachen Smart Home ganz einfach an vernünftigen Sicherheitskonzepten.

Interessant ist vor diesem Hintergrund ein neues Tool, welches an der Princeton University entstanden ist. Der Princeton IoT Inspector hat sich auf die Fahne geschrieben, den Nutzer über sämtliche Tätigkeiten zu informieren, die die Smart Home Geräte im heimischen Netzwerk so unternehmen. DIes gilt sowohl für Geräte mit Apples HomeKit-Zertifizierung, als auch für solche ohne. Derzeit steht das Tool ausschließlich für den Mac zur Verfügung und informiert übersichtlich

• über sämtliche Smart Home oder Internet of Things (IoT) Geräte im Netzwerk,
• die Informationen, die diese Geräte mit externen Servern austauschen,
• darüber, um was für Server es sich dabei handelt
• und ob diese Datenverbindungen sicher sind

Die Kollegen von 9to5Mac haben den Princeton IoT Inspector einem Test unterzogen und dabei unter anderem festgestellt, dass sich eine Philips Hue Bridge regelmäßig mit dem Server meethue.com verbindet und dabei 6 KB an Daten austauschte. Traurigerweise wird diese Verbindung unverschlüsselt aufgebaut. Auch wenn der Princeton IoT Inspector die dabei übermittelten Daten aktuell noch nicht in Klartext anzeigt, kann man sich die Inhalte mit anderen Tools, wie beispielsweise Wireshark anschauen.

Auch die Kollegen von Gizmodo haben eine gute Idee für einen praktischen Einsatz des Tools. Hat man beispielsweise ein Airbnb gebucht, kann man mit dem Tool relativ einfach feststellen, ob es dort irgendwo im Netzwerk versteckte Kameras gibt, die offenbar kein Einzelfall sind, wie erschütternde Meldungen in letzter Zeit immer wieder verdeutlichen.

Vor dem Einsatz des Tools sollte man sich allerdings über verschiedene Dinge im Klaren sein. So verwendet die App diverse Hacker-Methode, wie beispielsweise ARP-Spoofing, die zu verschiedenen Problemen führen können. Selbstverständlich haben die Wissenschaftler aber den kompletten Quellcode ihres Tools auf Github veröffentlicht, so dass sich jeder interessierte und entsprechend ausgebildete Nutzer versichern kann, dass sich kein Schadcode darin befindet. Zudem werden die mit dem Tool gesammelten Informationen anonymisiert an die Princeton University übertragen, um für eine wissenschaftliche Studie entsprechende Rückschlüsse auf die Datenübertragungen von bestimmten Smart Home Geräten zu erhalten. Der Nutzer muss dieser Datenübertragung allerdings vorab zustimmen. Tut man dies, sollte man sich darüber im Klaren sein, dass auch die Gerätenamen der Smart Home Gadgets mitübertragen werden. Hört mein Saugroboter also auf den Namen "Florian Schimankes Saugroboter", erhält Princeton auch diese Information.

Der Princeton IoT Inspector kann direkt von den Servern der Universität heruntergeladen werden. Nach der Installation öffnet die App eine Webseite, auf der die gesammelten Informationen dargestellt werden. Dies funktioniert aktuell allerdings nur mit Chrome oder Firefox, nicht jedoch mit Safari. Sollte Safari der Standard-Browser auf eurem Mac sein und entsprechend von der App geöffnet werden, kann die URL in der Adresszeile einfach in die Adresszeile von Chrome oder Firefox kopiert werden. Da die App nicht vom Mac AppStore signiert ist, wird die Ausführung von macOS blockiert. Dies kann man in den Systemeinstellungen unter "Sicherheit > Allgemein" aufgehoben werden.

In jedem Fall ein spannendes Tool, welches hoffentlich das Potenzial hat, auf der einen Seite die Nutzer von Smart Home Geräten, trotz allen Komfortgewinns, über potenzielle Gefahren beim Einsatz dieser Geräte aufzuklären und auf der anderen Seite die Hersteller dazu bewegt, solide Sicherheitskonzepte zu entwickeln und zu implementieren, damit der Einsatz von solchen Gadgets nicht irgendwann zu einem Albtraum wird.

Der eine oder andere wird es vermutlich bereits auf anderen (Boulevard-)Medien mitbekommen haben, es gibt erneut ein größeres Datenleck. Nachdem Anfang des Jahres bereits eine ganze Reihe von Politikern und Prominenten Opfer eines Datenlecks wurden und ihre teils persönlichen Informationen frei im Internet zugänglich waren, kursiert aktuell eine Datenbank mit über 1.1 Millionen eindeutigen Kombinationen aus E-Mail-Adressen und Passwörten im Netz. Aufmerksam gemacht hat auf diesen Pool der Sicherheitsforscher und Microsoft Regional Director Troy Hunt auf seinem Blog, wo er berichtet, dass es sich bei den Daten offenbar um eine Zusammenstellung verschiedener Phishing- und Hacking-Angriffe der vergangenen Jahre handelt. Zusammengefasst in einer Datenbank stellen diese Informationen natürlich eine extrem wertvolle Quelle für potenzielle Angreifer dar.

Der Leak ist ein weiteres sehr gutes Beispiel dafür, dass man in der heutigen Zeit schlecht beraten ist, auf verschiedenen Diensten dieselbe Kombination aus E-Mail Adresse und Passwort zu verwenden. Allzu einfach ist es für Angreifer mit den Informationen aus der angesprochenen Datenbank, auf diese Dienste zuzugreifen. Aus diesem Grunde kann ich jedem nur dazu raten, entweder seine Passwörter regelmäßig zu ändern oder einen Passwort-Manager wie 1Password zu verwenden. Auch die Wichtigkeit der Aktivierung einer Zwei-Faktor-Authentifizierung (wenn möglich) kann nicht stark genug betont werden.

Der oben angesprochene Troy Hunt betreibt übrigens auch die Webseite Have I been Pwned?, auf der man seine E-Mail Adresse eingeben kann und automatisch geprüft wird, ob sich diese gemeinsam mit einem zugehörigen Passwort in der Datenbank befindet. Sollte dem so sein, gilt es möglichst schnell, seine Passwörter zu ändern. Und zwar überall, wo man diese E-Mail Adresse als Anmeldenamen verwendet. Wie gesagt, am besten überall auf einen unterschiedlichen Wert.

Wie bereits vorhin angemerkt, ist das Thema Datenschutz momentan mal wieder in aller Munde. Die aktuell massenhaft im Internet veröffentlichten persönlichen Daten von Politikern, Journalisten und Prominenten zeigen, wie sensibel der Umgang mit solchen Daten gehandhabt werden sollte. Und auch wenn der Leak offenbar vor allem auf Basis von per Phishing und anderen Techniken abgegriffenen Zugangsdaten zustandegekommen ist, stellen auch öffentliche WLANs ein großes Risiko dar. Gerade wenn man viel unterwegs ist und sich somit auch entsprechend häufig in solchen WLANs tummelt, ist eine sichere VPN-Verbindung eigentlich nicht wegzudenken, wenn einem die eigenen Daten lieb sind. Passend hierzu hat der Anbieter NordVPN nach wie vor seinen Winter-Deal im Angebot, bei dem man 3 Jahre lang eine sichere und verschlüsselte VPN-Verbindung zum Preis von nur $ 2,99 pro Monat erhalten kann. Dafür erhält man aktuell die folgenden Inklusivleistungen:

• Zugriff auf weltweit über 4.800 Server
• Keine Logs
• Verbindungen mit bis zu 6 Geräten gleichzeitig
• Highspeed-Internet mit unbegrenzter Bandbreite

Eine VPN-Verbindung ist in der heutigen Zeit aus mehreren Gründen Gold wert. Zum einen werden die Daten hiermit über einen verschlüsselten Kanal im Internet übertragen, so dass man sich auch keine Gedanken über sie machen braucht, wenn man einmal in einem öffentlichen WLAN surft oder gar Onlinebanking betreiben muss. Zum anderen hat man hierüber auch die Möglichkeit, das bei verschiedenen Diensten immer noch geltende Geoblocking zu umgehen, was vor allem bei Reisen im Ausland durchaus interessant sein kann. Benötigt werden hierfür lediglich die Apps für das iOS-Gerät (kostenlos im AppStore) bzw. für den Mac (kostenlos im Mac AppStore).

Der folgende Link führt direkt zu dem aktuellen Winter-Deal bei NordVPN: 3 Jahre sicheres VPN für nur $ 2,99 pro Monat

Ich persönlich finde es ein wenig beängstigend, wie sorglos die meisten Nutzer nach wie vor mit ihrem mächstigsten Schutzwerkzeug, dem Passwort umgehen. Und das im Jahr 2018! Die Analysten von SplashData haben aktuell wieder ihre jährliche Liste der schlechtesten Passwörter des Jahres veröffentlicht. Diese basiert auf den Daten von über fünf Millionen Passwörtern, die in den zurückliegenden 12 Monaten von Hackern veröffentlicht wurden.

Nach wie vor nutzen unglaublich viele Menschen dabei Passwörter wie "123456", "password" oder "qwerty". Diese können nicht nur unglaublich leicht erraten werden, es sind in der Regel auch die ersten Varianten, die bei Brute Force Angriffen getestet werden. Nach wie vor gilt, dass Passwörter aus einer möglichst langen Zeichenkette bestehen sollten, die nach Möglichkeit sowohl Groß- und Kleinbuchstaben, als auch Zahlen und Sonderzeichen enthalten sollte. Zudem sollten nie dieselben Passwörter für mehrere Dienste genutzt werden. Dennoch lauten die Top 10 der beliebtesten Passwörter auch in diesem Jahr wieder:

1. 123456
2. password
3. 123456789
4. 12345678
5. 12345
6. 111111
7. 1234567
8. sunshine
9. qwerty
10. iloveyou

Da sich solche Passwörter natürlich nur schwer merken lassen, stehen inzwischen verschiedene Passwortmanagement-Apps zur Verfügung. In der Apple-Welt enthält der Safari-Browser eine Option, Passwörter zu generieren. Zudem können diese hier auch im iCloud-Schlüsselbund gespeichert werden, so dass sie auf allen verbundenen Geräten komfortabel zur Verfügung stehen.