Archiv der Kategorie: Datenschutz

Wurde Ihr Passwort gestohlen? Jetzt kostenlos testen!

Mindestens einmal im Jahr sollte man alle seine Passwörter ändern. Warum? Weil mindestens einmal im Jahr irgendein Dienst gehackt wird den man nutzt. Ob Amazon, Real oder das weiße Haus – niemand ist zu 100% sicher.

Forscher haben es sich zur Aufgabe gemacht, möglichst viele Informationen über gestohlene Passwörter zusammenzutragen: das Hasso-Plattner-Institut hat den HPI Identity Leak Checker onlinegestellt.
Grob gesagt, haben die Forscher möglichst viele im Darknet erhältliche Zugangsdaten zusammengetragen und in einer Datenbank gespeichert, aktuell über 3,5 Milliarden!

Diese Datenbank können Sie abfragen und nach Ihren eigenen Daten suchen – einfach und sicher:

  1. Besuchen Sie die Seite des HPI Identitiy Leak Checker
  2. Geben Sie Ihre E-Mail Adresse ein
  3. Sekunden später erhalten Sie eine E-Mail, ob diese den Forschern bekannt ist – mit anderen Worten ob sie bereits gestohlen wurde.

Falls ja ist sofortiges Handeln angesagt. Auf ALLEN Internetseiten, auf denen Sie diese E-Mail Adresse als Login benutzen, müssen Sie SOFORT Ihr Passwort ändern.  Als Hilfestellung wird Ihnen verraten, seit wann Ihr Passwort bei den Hackern im Umlauf ist. D.h Sie müssen alle Passwörter ändern, die älter sind als der in der E-Mail genannte Monat.

Falls nein – ok Sie dürfen sich zurücklehnen. Für heute. Und morgen schauen Sie mal, welche Passwörter älter als 1 Jahr sind. Nur für alle Fälle.

 

Ab 2017 verschärfte E-Mail Regeln – Shopumstellung empfohlen

Spam wird ein immer größeres Problem, und die E-Mail Anbieter müssen sich immer mehr einfallen lassen, um in dieser Flut nicht unterzugehen.

Bereits jetzt eine häufige Möglichkeit: Testen, ob es den Absender wirklich gibt.

Bereits jetzt ist es Standard, das der Empfänger-Server jede E-Mail beim ersten Mal IMMER ablehnt mit der Aufforderung, diese nochmal zu versenden. Spammer tun dies in der Regel nicht, reale Absender jedoch schon.   Dies findet automatisiert statt, davon bekommen Sie als Benutzer gar nichts mit.

Ab 2017 wird untersucht, ob der Absender ein Postfach hat.

Etwas vereinfacht dargestellt: wenn Ihr Shop eine E-Mail mit einer Bestellbestätigung versendet, dann geschieht das meistens über die Funktion „Mail“. Dies ist eine Funktion auf dem Server, die kein eigenes Postfach erfordert.  Der Shop kann also die Bestellbestätigung absenden mit „bestellung@mein-shop.de“, obwohl es diese E-Mail Adresse gar nicht oder nur als Weiterleitung gibt.

Damit wird ab 2017 Schluß sein. 

Alle großen Anbieter werden im Laufe des ersten Quartals 2017 beginnen, solche E-Mails abzulehnen oder als Spam einzuordnen. Wir empfehlen Ihnen daher, die E-Mail Einstellungen in Ihrem Shop zu verändern und ein real existierendes E-Mail Postfach zu benutzen. Da wir in der Regel Ihre E-Mail Passwörter nicht kennen, möchten wir Sie bitten die folgende Anleitung zur Kenntnis zu nehmen.

Shophelfer Shops: Besuchen Sie den Menüpunkt Konfiguration – Grundeinstellungen – E-Mail Optionen

Modified eCommerce Shops: Besuchen Sie den Menüpunkt Konfiguration – E-Mail Optionen

Empfohlene Einstellungen für Fishnet Hosting Kunden:

E-Mail Transport Methode: SMTP
Adresse des SMTP Servers: mail.ihre-domain.de
Adresse des Backup Servers: mail.ihre-domain.de
SMTP Port: 25
SMTP Username: ihre E-Mail Adresse
SMTP Passwort: das Passwort Ihres E-Mail Kontos
SMTH AUTH: JA


Empfohlene Einstellungen für Kunden bei anderen Hostern:

E-Mail Transport Methode SMTP
Adresse des SMTP Servers: smtp.ihre-domain.de
Adresse des Backup Servers: smtp.ihre-domain.de
SMTP Port: 25
SMTP Username: Benutzername wie in Ihrem E-Mail Programm, häufig ist das die E-Mail Adresse
SMTP Passwort: das Passwort Ihres E-Mail Kontos
SMTH AUTH: true

Klarer Nachteil des Ganzen:

Wenn Sie das Passwort Ihres E-Mail Kontos ändern, müssen Sie in Zukunft daran denken, es auch im Shop zu ändern.

#Onlinebanking Achtung neue Betrugsmasche

Im Bereich Onlinebanking gibt es eine neue Betrugsmasche. Mithilfe eines Trojaners wird auf den Browser zugegriffen und die Anzeige im Browser manipuliert. Die Ansicht des Onlinekontos zeigt nun einen Geldeingang an, mit dem Absender „Finanzamt“. Gleichzeitig wird darauf hingewiesen, das es sich um eine Fehlerüberweisung handelt und man das Geld zurücküberweisen soll.

Die hinterlegte Bankverbindung ist natürlich die der Betrüger. Erst wenn man die ausgedruckten Kontoauszüge bekommt wird klar, das es keinen Geldeingang gab – sondern nur die Rücküberweisung.

Schadsoftware jetzt auch über Facebook

Die Kriminellen lassen sich ständig etwas Neues einfallen: seit einiger Zeit kursieren auf Facebook Fake-Videos, über oder unter denen die User sogar namentlich angesprochen werden mit der Aufforderung, es anzusehen.
Klickt man das vermeintliche Video an, öffnet sich jedoch eine neue Seite. Mit einem YouTube Logo versehen, fordert sie den Benutzer auf, vor dem Betrachten des Users noch ein notwendiges Plugin zu installieren. Dieses „Plugin“ ist jedoch eine Schadsoftware, die dem Angreifer Zugriff auf den Browser des Betrachters gibt. Somit kann weitere Schadsoftware nachgeladen und zum Beispiel die Passworteingaben auf der Tastatur mitgelesen werden.

Auch hier gilt der gesunde Menschenverstand: bevor man sich etwas installiert das man nicht kennt, verzichtet man lieber auf das vermeintliche tolle Video.

Ist Ihre Datenschutzerklärung aktuell?

Die IT Rechtskanzlei weist darauf hin, dass am 24.02.2016 das neue Gesetz zur Verbesserung der zivilrechtlichen  Durchsetzung von verbraucherschützenden Vorschriften des Datenschutzrechts in Kraft trat.  Das bedeutet, dass Webseitenbetreiber ohne vollständige Datenschutzerklärung ab sofort abgemahnt werden können.

Besucher Ihrer Seite müssen nach § 13 Abs. 1 TMG und § 33 Abs. 1 BDSG über Art, Umfang und Zweck der Erhebung, Verarbeitung oder Nutzung der personenbezogenen Daten, sowie etwaige Widerspruchsrechte aufgeklärt werden. Diese Informationen muss die neue Datenschutzerklärung enthalten.

Genauere #Werbung und weniger #Datenschutz durch hochfrequente Töne

Smartphones galten lange ans „2nd Screen“, also ein zweiter Bildschirm der nebenher läuft, während man Fernsehen guckt. Inzwischen sind Smartphones so wichtig geworden, das sie der 1st Screen sind und der Fernseher der nebenbei laufende 2nd Screen.

Nun ist ja aber Fernsehen immer noch größtenteils werbefinanziert, wie bekommt man nun die Werbung in das Blickfeld des Nutzers, wenn er die ganze Zeit nur auf sein Smartphone sieht ?

In den USA gibt es nun die ersten Apps, die im Hintergrund laufend auf bestimmte Signale lauschen. Diese Signale werden im Fernsehen hochfrequent gesendet, sind somit für den Nutzer nicht hörbar. Die App jedoch erkennt das Signal und schaltet auf dem Smartphone Werbung – passend zum aktuellen Fernsehprogramm.  Somit können Werbetreiber nunmehr erkennen, welcher Smartphonenutzer gerade welches TV Programm sieht, und ihm maßgeschneiderte Werbung präsentieren.

Das kann man auch noch weiterdenken: durch monatelanges Tracking wissen wir, das der Benutzer auf seinem Smartphone bei Krimis gerne Pizza isst. Was liegt da näher, als Sonntags beim Tatort ein „Soundbeacon“ auszuspielen, das auf seinem Smartphone Werbung eines örtlichen Pizzalieferanten schaltet? Durch die Verarbeitung großer Datenmengen, „Big Data“, technisch kein Problem mehr.

Darum schlagen Datenschützer auch Alarm. Durch das geräteübergreifende Nutzer-Tracking können Geräte bestimmten Personen zugeordnet werden.  Darum hat das amerikanische Center for Democracy and Technology (CDT) die Aufsichtsbehörde FTC vor dieser Technik gewarnt.

Marktführer ist die Firma Sliverpush, die bereits 2014 1,5 Millionen Dollar von Kapitalgebern einsammeln konnte.

CDT schreibt

there is no way for the user to opt-out of this form of cross-device tracking. SilverPush’s company policy is to not „divulge the names of the apps the technology is embedded,“

Silver Push bietet also nicht einmal ein Opt-Out aus dieser Werbung an – in Deutschland undenkbar.

Im April 2015 waren bereits 67 Apps mit Silver Push Software verseucht und kontrollierten über 18 Millionen Smartphones.

#DomainSuspencionNotice – häufige Fakemails

Im Moment gehen sehr viele Fakemails durchs Netz. Die neueste Masche ist, das man nicht mehr als Bankkunde angeschrieben wird, sondern als Domaininhaber. Die Daten dazu passen, d.h. man wird wegen Domains angeschrieben, die man wirklich besitzt.
Es wird damit gedroht, das die Domain gelöscht wird, sollte man nicht den folgenden Link anklicken.

Hierzu sollten Sie wissen:

Inhaber von .de Domains erhalten ausschließlich E-Mails von Ihrem Hoster.
Inhaber von zum Beispiel .com Domains erhalten zusätzlich einmal im Jahr eine sogenannte WDRP E-Mail, die auf Englisch zur Prüfung der Kontaktdaten auffordert. Diese E-Mail ist von der zentralen Vergabestelle vorgeschrieben!

Die WDRP Mail enthält keinerlei Zahlungsaufforderung. Im Zweifelsfall leiten Sie die Mails an uns weiter. Wir sagen Ihnen dann, ob sie echt sind.

Google: Datensammlung zum Nachschauen

Wer schon immer einmal wissen wollte welche Daten Google über ihn speichert, kann dies jetzt einsehen.

Über den Menüpunkt „Mein Konto“ bietet der Konzern nun mehr Wahlmöglichkeiten und mehr Kontrolle.  So behält man  seine Google-Kontodaten im Blick und kann diese anpassen.
Beispielweise kann die Option die die Suchergebnisse anhand früherer Suchaktivitäten anpasst, abgeschaltet werden.
Neu ist die Möglichkeit, verschiedene Datenaufzeichnungen wie die des Standortverlaufs zu untersagen oder zu pausieren.

Das Nachschlagen der eigenen Tätigkeiten und Verläufe auf Google kann unter Umständen sehr interessant sein: An vieles wird man sich selbst kaum noch erinnern und kann zukünftig die  Aufzeichnung auch untersagen.

Google veröffentlicht zudem eine neue Informationsseite (privacy.google.com), die aufzeigt, welche Daten Google erfasst und wie diese weiterverwendet werden.
Damit wirkt der Konzern der Kritik an Datenschutzfragen entgegen und schafft mehr Transparenz so dass die Nutzer die Verwendung ihrer Daten besser nachvollziehen und ggfl. auch verhindern können.

Amazon Cloud in Frankfurt: lächerlich für deutsche Betriebe

Amazon möchte nun ein Stück abhaben vom deutschen „Datenschutz-Kuchen“. Man habe den Wunsch der Deutschen nach Datensicherheit verstanden und investiere daher nun in ein Rechenzentrum in Frankfurt.

Nach Amazon soll es dort – zu den normalen AmazonCloud Preisen und -regeln – eine komplett „deutsche Cloud“ geben, mit eigener Hardware,  eigener Stromversorgung und eigener Netzanbindung.

Die Daten künftiger Kunden sollen nach deutscher Gesetzgebung und deutschen Regeln abgelegt und verarbeitet werden.

Warum das lächerlich ist? Amazon ist und bleibt ein amerikanisches Unternehmen, und damit unterliegt es sowohl selbst, als auch seine deutscher Tochter, dem Patriot Act, der allumfassenden Waffe der us-amerikanischen Regierung und ihrer Geheimdienste gegen den Terrorismus.  Neben der regelmäßigen Verletzung des Datenschutzes durch die Geheimdienste im Auftrag der Regierung, muss man auch beachten das diese auch Wirtschaftsunternehmen als Kunden haben. Genauer gesagt: die NSA beliefert auch amerikanische Unternehmen mit wirtschaftsrelevanten Daten.

Somit sollte sich jeder, der seine Daten bei einem US-Unternehmen speichert, die Frage stellen, ob er der Bequemlichkeit oder der Kosten halber die Gefahr der Wirtschaftsspionage eingehen möchte.

 

SSL auf Websites: Google belohnt mit höherem Ranking

Das Google Ranking, das aus vielen kleinen Dingen zusammengerechnet wird, ist um einen Einfluß reicher.  Google vergibt in Zukunft Punkte für Websites, die https statt http einsetzen.  Dies kündigte die Firma in ihrem Webmaster Central Blog im August an.  Anscheinend darf man dies so verstehen, das die Website komplett verschlüsselt geladen werden soll, nicht mehr nur in der Kaufabwicklung.  Dies ist für modified Shops in der includes/configure.php recht einfach zu bewerkstelligen, allerdings muss beachtet werden ob alle Grafiken des Templates korrekt eingebunden wurden, ansonsten wird es in diversen Browsern Fehlermeldungen geben das die Seite unsichere Inhalte enthält.
Bereits jetzt gibt es mehr als 200 Faktoren, die bei dem Google Ranking berücksichtigt werden, nun also wieder einer mehr.

Laut Google wird SSL momentan im Ranking nur gering gewichtet, da man den Webmastern auch Zeit zum Reagieren geben wolle. Allerdings wurde bereits deutlich, das man der Verschlüsselung in Zukunft ein höheres Gewicht geben wird.