Eine der spannenden, jedoch bislang eher weniger beachteten Neuerungen der im Herbst erscheinenden großen Betriebssystem-Updates betrifft den iCloud-Schlüsselbund. Hierin lassen sich künftig nicht nur sicher die eigenen verwendeten Passwörter speichern und per iCloud auf alle genutzten Apple-Geräte synchronisieren, eine neue Funktion warnt künftig den Nutzer auch, sollten die gewählten Passwörter unsicher sein oder bei einem Sicherheitszwischenfall in der Vergangenheit kompromittiert worden sein. Auf diese Weise soll sichergestellt werden, dass man stets Passwörter verwendet, die noch nicht bekanntgeworden und so sicher sind, dass sie bedenkenlos für die Anmeldung auf Webseiten oder bei Apps genutzt werden können.

Teilweise sind die Funktionen auch bereits in den aktuellen Betriebssystemversionen enthalten. Ab dem Herbst werden sie jedoch deutlich offensiver von Apple eingesetzt. Zu den bei zu einfachen Passwörtern angezeigten Warnungen gehören:

• Dieses Passwort wird von vielen Nutzern verwendet und ist hierdurch leicht zu erraten.
• Dieses Passwort ist leicht zu erraten.
• Dieses Passwort enthält die Zeichenfolge "123". Einfache Zeichenfolgen sind leicht zu erraten.

Komplett neu ist indes eine Überprüfung, ob das verwendete Passwort bei einem Datendiebstahl in der Vergangenheit in falsche Hände geraten ist. Hier zeigt Apple künftig eine Warnung an, die die Nutzer darauf hinweist, dass man sich besser ein neues Passwort ausdenken sollte.

Apple beschreibt die neue Funktion, die auch in macOS Big Sur enthalten ist, auf der Preview-Seite zu iOS 14 mit den folgenden Worten:

Safari securely monitors your saved passwords, automatically keeping an eye out for passwords that may have been involved in a data breach. To do this, Safari uses strong cryptographic techniques to regularly check derivations of your passwords against a list of breached passwords in a secure and private way that doesn’t reveal your password information — even to Apple. If Safari discovers a breach, it can help you upgrade to Sign in with Apple when available, or automatically generate a new secure password.

In diesem Zusammenhang sei zudem noch eine Leseempfehlung ausgesprochen. Die Kollegen von TechCrunch haben kürzlich die Hintergründe der bekannten Webseite Have I Been Pwned beleuchtet, auf der Nutzer prüfen können, ob ihr Konto in der Vergangenheit von einem Datendiebstahl betroffen gewesen ist. Zwar gibt Apple nicht an, woher die Daten stammen, auf die der iCloud-Schlüsselbund zur Prüfung zugreift, "Have I Been Pwned" bietet jedoch Schnittstellen zu seinen Informationen über Datendiebstähle an. Gut möglich also, dass Apple mit seiner Funktion hier andockt.

Zusätzlich zu den Sicherheitsverbesserungen beim iCloud-Schlüsselbund hatt Apple im Vorfeld der WWDC bereits ein Open Source Projekt für eine einheitliche Basis von Passwortmanager-Apps ins Leben gerufen. Darüber hinaus wird es dank der Web Authentication API künftig auch eine Unterstützung für die Anmeldung via Face ID und Touch ID auf entsprechend angepassten Webseiten geben.

In Zeiten, in denen noch mehr online geschieht als ohnehin schon, möchte ich noch einmal das Thema VPN auf die Agenda hieven. Der von mir bevorzugte Anbieter ist nach wie vor NordVPN, den die meisten meiner Leser inzwischen sicherlich kennen dürften. Ich nenne ihn immer mal wieder zwischendurch im Rahmen von Rabattaktionen oder im Zusammenhang mit thematisch passenden Inhalten, mit denen sich die NordVPN-Produkte wunderbar nutzen lassen. Das bekannteste Produkt ist dabei sicherlich der VPN-Dienst, zu dem es aktuell mal wieder eine interessante Promo-Aktion gibt. Im Rahmen eines Oster-Deals erhält man dabei aktuell wie gewohnt 3 Jahre lang eine sichere und verschlüsselte VPN-Verbindung zum Preis von nur € 3,10 pro Monat PLUS die Chance auf bis zu 12 Monate gratis VPN obendrein.

Eine VPN-Verbindung ist in der heutigen Zeit aus gleich mehreren Gründen Gold wert. Zum einen werden die Daten hiermit über einen verschlüsselten Kanal im Internet übertragen, so dass man sich auch keine Gedanken über seine Daten machen braucht, wenn man einmal in einem öffentlichen WLAN surft oder gar Onlinebanking betreiben muss. Zum anderen hat man hierüber auch die Möglichkeit, das bei verschiedenen Diensten immer noch geltende Geoblocking zu umgehen. Benötigt werden hierfür lediglich die NordVPN Apps für das iOS-Gerät (kostenlos im AppStore) bzw. für den Mac (kostenlos im Mac AppStore).

NordVPN, der Anbieter von verschiedenen Sicherheitslösungen wird den meisten meiner Leser inzwischen sicherlich etwas sagen. Ich nenne ihn immer mal wieder zwischendurch im Rahmen von Rabattaktionen oder im Zusammenhang mit thematisch passenden Inhalten, mit denen sich die NordVPN-Produkte wunderbar nutzen lassen. Das bekannteste Produkt ist dabei sicherlich der VPN-Dienst, zu dem es aktuell mal wieder eine interessante Promo-Aktion gibt. Im Rahmen eines Deals anlässlich des 8. Geburtstags von NordVPN erhält man dabei wie gewohnt 3 Jahre lang eine sichere und verschlüsselte VPN-Verbindung zum Preis von nur € 3,10 pro Monat PLUS eines von vier wählbaren Geschenken obendrein.

Eine VPN-Verbindung ist in der heutigen Zeit aus gleich mehreren Gründen Gold wert. Zum einen werden die Daten hiermit über einen verschlüsselten Kanal im Internet übertragen, so dass man sich auch keine Gedanken über seine Daten machen braucht, wenn man einmal in einem öffentlichen WLAN surft oder gar Onlinebanking betreiben muss. Zum anderen hat man hierüber auch die Möglichkeit, das bei verschiedenen Diensten immer noch geltende Geoblocking zu umgehen. Benötigt werden hierfür lediglich die NordVPN Apps für das iOS-Gerät (kostenlos im AppStore) bzw. für den Mac (kostenlos im Mac AppStore).

Ich persönlich finde es zunehmend beängstigend, wie sorglos die meisten Nutzer nach wie vor mit ihrem mächstigsten Schutzwerkzeug, dem Passwort umgehen. Und das im Jahr 2019! Ich würde sogar die These stützen, dass diese Sorglosigkeit, vermutlich vor allem vor dem Hintergrund von Komfort und auch ein Stückweit Bequemlichkeit eher zunimmt. Das Hasso-Plattner-Institut hat aktuell wieder seine Liste der beliebtesten Passwörter der Deutschen des Jahres 2019 veröffentlicht. Ein Blick in diese Liste muss einen schon einigermaßen nachdenklich stimmen.

Nach wie vor nutzen unglaublich viele Menschen dabei Passwörter wie "123456", "password" oder "qwertz". Diese können nicht nur unglaublich leicht erraten werden, es sind in der Regel auch die ersten Varianten, die bei Brute Force Angriffen getestet werden. Nach wie vor gilt, dass Passwörter aus einer möglichst langen Zeichenkette bestehen sollten, die nach Möglichkeit sowohl Groß- und Kleinbuchstaben, als auch Zahlen und Sonderzeichen enthalten sollte. Zudem sollten nie dieselben Passwörter für mehrere Dienste genutzt werden. Dennoch lauten die Top 10 der beliebtesten Passwörter in diesem Jahr:

1. 123456
2. 123456789
3. 12345678
4. 1234567
5. password
6. 111111
7. 1234567890
8. 123123
9. 000000
10. abc123

Zur Herkunft der Daten schreibt das HPI:

Die Daten stammen aus dem HPI Identity Leak Checker, dem Online-Sicherheitscheck des HPI. Datengrundlage sind allein dieses Jahr 67 Millionen Zugangsdaten die auf E-Mail-Adressen mit .de-Domäne registriert sind und 2019 geleakt, also veröffentlicht wurden. Insgesamt wurden dieses Jahr 178 solcher Datenlecks, in den Identity Leak Checker eingepflegt, 96 davon wurden von den Diensteanbietern bestätigt.

Da sich sichere Passwörter natürlich nur schwer merken lassen, stehen inzwischen verschiedene Passwortmanagement-Apps zur Verfügung. In der Apple-Welt enthält der Safari-Browser eine Option, Passwörter zu generieren. Zudem können diese hier auch im iCloud-Schlüsselbund gespeichert werden, so dass sie auf allen verbundenen Geräten komfortabel zur Verfügung stehen.

NordVPN, der Anbieter von verschiedenen Sicherheitslösungen wird den meisten meiner Leser inzwischen sicherlich etwas sagen. Ich nenne ihn immer mal wieder zwischendurch im Rahmen von Rabattaktionen oder im Zusammenhang mit thematisch passenden Inhalten, mit denen sich die NordVPN-Produkte wunderbar nutzen lassen. Das bekannteste Produkt ist dabei sicherlich der VPN-Dienst, zu dem es aktuell mal wieder eine interessante Promo-Aktion gibt. Im Rahmen des Cyber-Deals erhält man dabei wie gewohnt von NordVPN 3 Jahre lang eine sichere und verschlüsselte VPN-Verbindung zum Preis von nur € 3,17 pro Monat PLUS (und das ist neu!) drei Monate kostenlos obendrein. Und als sei das noch nicht genug, erhält man im Black Friday/Cyber Monday Deal auch noch das neue NordVPN-Produkt namens NordLocker mit dazu.

Eine VPN-Verbindung ist in der heutigen Zeit aus gleich mehreren Gründen Gold wert. Zum einen werden die Daten hiermit über einen verschlüsselten Kanal im Internet übertragen, so dass man sich auch keine Gedanken über seine Daten machen braucht, wenn man einmal in einem öffentlichen WLAN surft oder gar Onlinebanking betreiben muss. Zum anderen hat man hierüber auch die Möglichkeit, das bei verschiedenen Diensten immer noch geltende Geoblocking zu umgehen. Benötigt werden hierfür lediglich die NordVPN Apps für das iOS-Gerät (kostenlos im AppStore) bzw. für den Mac (kostenlos im Mac AppStore).

Bei NordLocker handelt es sich um ein Tool zur sicheren Verschlüsselung von beliebigen Dateien. Der eine oder andere mag sich evtl. noch an das gute alte TrueCrypt erinnern. Dieses wird bereits seit einiger Zeit nicht mehr weiterentwickelt und da es sich dabei um eine 32-Bit App handelt, ist sie unter macOS Catalina nicht mehr lauffähig. NordLocker versucht diese Lücke nun zu füllen und bietet hierzu eine benutzerfreundliche App, über die sich Dateien ganz einfach per Drag&Drop verschlüsseln lassen. Anschließend kann man sie dann mit ausgewählten Benutzern teilen oder ablegen wo immer man möchte.

Apples Head of Security Engineering and Architecture Ivan Krsti? wird an der diesjährigen Black Hat Sicherheitskonferenz teilnehmen und dort auch einen Vortrag zum Thema iOS und macOS Security halten. Bei der Black Hat Konferenz handelt es sich um eine Veranstaltung für Securityexperten aus aller Welt, bei der sich diese zu den aktuellen Themen rund um das Thema IT-Sicherheit austauschen können. Der Ankündigung zufolge beschäftigt sich der Vortrag von Ivan Krsti? mit verschiedenen Kerntechnologien, die Apple in iOS 13 und beim Mac einsetzt, zu denen unter anderem Pointer Authentication Codes in den aktuellen iPhone-Chips, der T2 Security-Chip im Mac und auch die Verschlüsselung in der neuen "Find My"-App unter iOS 13 und bei macOS Catalina. gehören.

Die diesjährige Black Hat Konferenz findet im Zeitraum zwischen dem 03. und dem 08. August im Mandalay Bay Resort in Las Vegas statt. Ivan Krsti? ist dabei kein unbekannter Gast auf dem Event und hat unter anderem vor drei Jahren einen Vortrag zu neuen Sicherheitsfunktionen in iOS 10 gehalten.

Eines muss man ihnen lassen, das israelische Sicherheitsunternehmen Cellebrite hat sich in der iOS-Szene durchaus eine gewisse Bekanntheit erarbeitet. Vor allem deswegen, weil man sich auf das Knacken von iOS-Geräten spezialisiert hat. Die meisten werden sich sicherlich noch an die GrayKey-Box von Grayshift erinnern, eine kleine Kiste, an die ein iPhone oder iPad angeschlossen werden konnte, um hierauf dann einen Brute-Force-Angriff zu initiieren, der auf das Knacken des PIN-Codes abzielte. Auch Cellebrite arbeitet in diese Richtung. Apple hat seit Bekanntwerden der Methode verschiedene Sicherheitsmaßnahmen in iOS eingebaut, die diese Form des Knackens eines Geräts verhindern sollen und auch erfolgreich verhindert haben.

Nun erklärt Cellebrite jedoch auf Twitter, dass man mit einer neuen Version seines Universal Forensic Extraction Device wieder in der Lage sei, sämtliche iOS-Geräte bis hin zu iOS 12.3 zu entsperren. Auf seiner Webseite wirbt das Unternehmen damit, dass das neue UFED Premium die derzeit einzige Lösung am Markt sei, die es Strafverfolgungsbehörden ermöglicht, auf die Inhalte von gesperrten iOS- und Android-Geräten zuzugreifen.

Die Kollegen von Wired berichten indes, dass jede Behörde das Gerät erwerben kann, was es für Cellebrite schwierig macht, seine eigene Technologie zu schützen. Unter anderem konnten Anfang des Jahres Cellebrite-Produkte, die eigentlich ausschließlich für Strafverfolgungsbehörden gedacht sind, für um die 100,- Dollar von jedermann auf eBay erworben werden. Dies öffnet natürlich auch für Hacker und andere zwielichtige Gesellen Tür und Tor für Angriffe auf iOS-Geräte. Eine Entwicklung, die mit Sorge zu betrachten ist.

Ich persönlich bin kein großer Freund von Smart Home Geräten, vor allem nicht von solchen, die nicht nur Informationen zur Verfügung stellen, sondern bestimmte Dinge steuern können. Smarte Türschlösser, Rolladen und sonstige Dinge bergen ganz einfach viele Gefahren, die von den meisten Nutzern in Anbetracht des Komfortgewinns gerne ausgeblendet werden. Zwar fühle ich mich selbst bei solchen Aussagen immer ein wenig innovationsfeindlich, da ich allerdings meinen Berufsschwerpunkt im Bereich IT-Netzwerke habe, bilde ich mir ein, einen besseren Einblick in die Thematik zu haben, als der Ottonormal-Verbraucher. Es fehlt in Sachen Smart Home ganz einfach an vernünftigen Sicherheitskonzepten.

Interessant ist vor diesem Hintergrund ein neues Tool, welches an der Princeton University entstanden ist. Der Princeton IoT Inspector hat sich auf die Fahne geschrieben, den Nutzer über sämtliche Tätigkeiten zu informieren, die die Smart Home Geräte im heimischen Netzwerk so unternehmen. DIes gilt sowohl für Geräte mit Apples HomeKit-Zertifizierung, als auch für solche ohne. Derzeit steht das Tool ausschließlich für den Mac zur Verfügung und informiert übersichtlich

• über sämtliche Smart Home oder Internet of Things (IoT) Geräte im Netzwerk,
• die Informationen, die diese Geräte mit externen Servern austauschen,
• darüber, um was für Server es sich dabei handelt
• und ob diese Datenverbindungen sicher sind

Die Kollegen von 9to5Mac haben den Princeton IoT Inspector einem Test unterzogen und dabei unter anderem festgestellt, dass sich eine Philips Hue Bridge regelmäßig mit dem Server meethue.com verbindet und dabei 6 KB an Daten austauschte. Traurigerweise wird diese Verbindung unverschlüsselt aufgebaut. Auch wenn der Princeton IoT Inspector die dabei übermittelten Daten aktuell noch nicht in Klartext anzeigt, kann man sich die Inhalte mit anderen Tools, wie beispielsweise Wireshark anschauen.

Auch die Kollegen von Gizmodo haben eine gute Idee für einen praktischen Einsatz des Tools. Hat man beispielsweise ein Airbnb gebucht, kann man mit dem Tool relativ einfach feststellen, ob es dort irgendwo im Netzwerk versteckte Kameras gibt, die offenbar kein Einzelfall sind, wie erschütternde Meldungen in letzter Zeit immer wieder verdeutlichen.

Vor dem Einsatz des Tools sollte man sich allerdings über verschiedene Dinge im Klaren sein. So verwendet die App diverse Hacker-Methode, wie beispielsweise ARP-Spoofing, die zu verschiedenen Problemen führen können. Selbstverständlich haben die Wissenschaftler aber den kompletten Quellcode ihres Tools auf Github veröffentlicht, so dass sich jeder interessierte und entsprechend ausgebildete Nutzer versichern kann, dass sich kein Schadcode darin befindet. Zudem werden die mit dem Tool gesammelten Informationen anonymisiert an die Princeton University übertragen, um für eine wissenschaftliche Studie entsprechende Rückschlüsse auf die Datenübertragungen von bestimmten Smart Home Geräten zu erhalten. Der Nutzer muss dieser Datenübertragung allerdings vorab zustimmen. Tut man dies, sollte man sich darüber im Klaren sein, dass auch die Gerätenamen der Smart Home Gadgets mitübertragen werden. Hört mein Saugroboter also auf den Namen "Florian Schimankes Saugroboter", erhält Princeton auch diese Information.

Der Princeton IoT Inspector kann direkt von den Servern der Universität heruntergeladen werden. Nach der Installation öffnet die App eine Webseite, auf der die gesammelten Informationen dargestellt werden. Dies funktioniert aktuell allerdings nur mit Chrome oder Firefox, nicht jedoch mit Safari. Sollte Safari der Standard-Browser auf eurem Mac sein und entsprechend von der App geöffnet werden, kann die URL in der Adresszeile einfach in die Adresszeile von Chrome oder Firefox kopiert werden. Da die App nicht vom Mac AppStore signiert ist, wird die Ausführung von macOS blockiert. Dies kann man in den Systemeinstellungen unter "Sicherheit > Allgemein" aufgehoben werden.

In jedem Fall ein spannendes Tool, welches hoffentlich das Potenzial hat, auf der einen Seite die Nutzer von Smart Home Geräten, trotz allen Komfortgewinns, über potenzielle Gefahren beim Einsatz dieser Geräte aufzuklären und auf der anderen Seite die Hersteller dazu bewegt, solide Sicherheitskonzepte zu entwickeln und zu implementieren, damit der Einsatz von solchen Gadgets nicht irgendwann zu einem Albtraum wird.