Blog

HTTPS – verschlüsselt. Was nun?

Unterdessen sind rund zwei Drittel des Internet Verkehrs verschlüsselt, das hat Konsequenzen für Sie als Anwender. Und es hat Konsequenzen für Sie als Verantwortlichen für die IT.

Der ganze Artikel gilt auch für andere verschlüsselte Verbindungen, beispielsweise für E-Mail (SMTPS, IMAPS, POPS) oder Filetransfer SFTP.

Aus Sicht Betreiber IT bedeutet erstmal, dass sie keine Ahnung haben was für Daten durch die verschlüsselten Verbindungen gesendet werden, sie können sie grundsätzlich nicht kontrollieren. Die Daten können unproblematisch sein, es können Firmendaten sein, auch Schadsoftware ist möglich, Phishing Links etc. Ihrer Fantasie sind keine Grenzen gesetzt.

Für Sie als Anwender bedeutet dies, dass sie grundsätzlich die vorhin genannten Arten von Daten empfangen und versenden können.

Was tun?

Bis vor kurzem konnten Proxies mindestens den Webverkehr (http, https) analysieren.

Die neuesten Generationen Firewalls (verschiedener Hersteller) sind in der Lage dies nicht nur für den Webverkehr zu tun, sondern auch für die oben genannten, anderen Protokolle. Und sie sind preislich auch für KMU interessant, preislich nicht nur in der Anschaffung und Wartung-Abonnemente sondern auch im Handling durch die Systemadministratoren.

dIch empfehle auch Ihrem Betieb: Prüfen Sie den verschlüsselten Verkehr.


E-Mail und Anhänge

Aus aktuellem Anlass will ich nochmals in Erinnerung rufen, dass via E-Mail viele Bedrohungen versendet werden.

Gerade vorhin bekam ich ein Mail mit einem “Bewerbungsschreiben”. Es passt, viele haben eine Stelle ausgeschrieben oder?

Was ist falsch am Mail? Eben, fast nichts.  Ausser dass die Stelle nicht beim Namen genannt wird, fehlt im ersten Moment nichts entscheidendes. Selbst dass die Anrede allgemein ist, stört wenig. Gibt es Schreibfehler? Eben.

ABER es ist ein Virus im Anhang drin. Stoppen Sie Ihre Neugier. Informieren, informieren und informieren Sie unbedingt auch die Mitarbeiter.

Ob das Mail eine Bewerbung, eine Offerte, eine Anfrage enthält ist nicht entscheidend. Das Mail wird zu Ihrer Firma passen.

Die drei Bilder zeigen das Mail und das Resultat des aktuellen Viren- Malwarescanners.

E-Mail mit Virus Teil 1 E-Mail mit Virus Teil 2 E-Mail mit Virus Scan Resultat

 

Eine kleiner Hinweis: es wird nicht besser.


E-Mail Bedrohung

Wir alle nutzen E-Mail und wir alle wissen eigentlich, dass viel Schaden via E-Mail angerichtet wird. UND, dass wir vorsichtig sein sollten.

Wegen der aktuellen Bedrohungslage, siehe z.B. http://www.nzz.ch/digital/cryptowall-4-macht-es-opfern-schwerer-ld.2970, macht es Sinn sich in Erinnerung zu rufen, dass wir alle – mich eingeschlossen – vorsichtig sein müssen.

Weil Hacking ein Millionen Geschäft ist, darf uns die Raffinesse und Professionalität der Attacken nicht (mehr) überraschen. Insbesondere E-Mails von einer euch bekannten Person oder Institution mit PDF oder ZIP Attachements müssen zur Vorsicht mahnen! Ist es nicht so, dass ihr zwar denkt “dieses Mail könnte echt sein” aber gleichzeitig “irgend etwas ist doch nicht ganz richtig”?

Dann ab – ungeöffnet – in den Papierkorb! Lieber nachfragen, lieber eine Erinnerung erhalten als einen unbrauchbaren PC/Mac zu haben.

Es gilt die eigene Neugier zu bändigen und auf vermeintlichen Druck, “ihr Konto wird deaktiviert” oder “offene Rechnung”, nicht zu reagieren.

Beispiel E-Mail Bedrohung 08-Dez-2015


IPv6 oder der lange Atem

Immer wieder wird versucht uns eine neue Technologie als der kommende Gralsbringer verkauft. Das ist war beim Ende der Programmiersprache Cobol so, das war auch beim Ende von IPv4 so. Aber – langsam, langsam wird das Ende von IPv4 sichtbar.

An der diesjährigen IPv6 Konferenz vom 18. Juni in Zürich zeigte deutlich, dass endlich IPv6 am Überholen ist.

Alle IT Verantwortlichen und IT Involvierte (Architekten, Administratoren, Entwickler, Ausbildner) müssen sich spätestens jetzt mit den Konsequenzen von IPv6 auseinandersetzen. Denn auch diese Auseinandersetzung benötigt seine Zeit, seine Ressourcen.

Gründe, welche für den Einsatz jetzt sprechen:

  • Der Kern des Internet ist IPv6, denn Die Top 300 mit 95% des Internet-Surfvolumens sind zu 85% IPv6-ready. „Die Frage im Internet Backbone lautet nicht mehr IPv4 oder IPv6, sondern dual-stack oder IPv6-only“.
  • Swisscom hat Anfang Juni eine weitere Welle an IPv6 Usern aktiviert: Zwei Drittel aller Swisscom Benutzer surfen mittlerweile dual-stack im Internet. Dual-stack bedeutet, dass je nach Verfügbarkeit der angesprochenen Webseite IPv6 oder IPv4 als Protokoll benutzt wird. 31% des Traffics der dual-stack-fähigen Benutzer entfallen mittlerweile auf IPv6 Zugriffe.
  • Zugriff z.B. auf Facebook: Mobile User können über IPv6 im Schnitt zu 35% schneller auf die Inhalte zugreifen als über IPv4. Die Gründe liegen in der Direktheit der Verbindung: Aufgrund der IPv4-Adressknappheit müssen IPv4-Anfragen oft über mehrere sogenannte NATs (Network Adress Translation) geleitet werden, was die Performance beeinträchtigt. Bei IPv6 können die User mit dem gewünschten Server direkt verbunden werden.
  • Gemäss Keane (Marcus Keane, Principal Network Architect Microsoft IT) stellen die IPv4-only-Legacy-Applikation eine grosse Herausforderung dar: „Es ist nicht so, dass wir diese Applikationen nicht einbinden können, aber die Application Owner wollen kein Budget für die Migration von Legacy Applikationen verwenden. … Neue Applikationen werden selbstverständlich mit Fokus auf IPv6-Readiness entwickelt. Eine Umstellung auf IPv6 im gesamten Unternehmen ist jedoch mit wesentlichen Kosten verbunden. Hier ist das Management mit einer klaren IPv6-Strategie gefordert.“
  • @Home als Treiber von IPv6-only: Nathalie Künneke-Trenaman, IPv6 Program Manager RIPE und begeisterte IPv6@Home-Anwenderin, stellte vor, was sie in ihrem Zuhause über IPv6 heute verwaltet: Webcam, Thermostat, LED und sogar einen Snack-Roboter für ihre Katze. „Cisco schätzt, dass im Jahr 2020 rund 50 Milliarden Geräte im Einsatz stehen, die in irgendeiner Weise mit einem Menschen verbunden sind. Bereits ist das Ausmass an Vernetzung gewaltig, wie z.B. die Webseite thingful.net aufzeigt“, so Künneke-Trenaman. „IPv6 ist das passende Protokoll dazu. Der Bedarf an Vernetzung ist ein Treiber für IPv6-only-Netzwerke.“
  • Georg Kirchmair, Senior System Engineer bei Swarovski: „Für unser Unternehmen im Manufacturing-Bereich wird die Koexistenz von IPv4 mit IPv6 noch Jahre andauern. Bei uns laufen immer noch Produktionsmaschinen mit Embedded Systemen, auf denen legacy Betriebssysteme laufen. Und diese Maschinen haben einen Lebenszyklus von 15 Jahren. Solange werden wir sicherlich IPv4 im Einsatz haben.“

Sprechen Sie mit uns über IPv6 für Ihr Unternehmen.


IT Projekte

Im letzten Jahr wurde in der Presse oft von gescheiterten IT Projekten beim Bund oder bei den Kantonen berichtet. Dadurch entstand wohl der Eindruck, nur bei Verwaltungseinheiten geschieht dies.

Aus Erfahrung weiss ich jedoch, in ähnlichen privat-rechtlichen Firmen (im Sinne von Grösse) gibt es vergleichbare IT Projekte, erfolgreiche und gescheiterte, nur ist das Medienecho bedeutend kleiner. Übrigens sind immer wieder Meldungen von gescheiterten Projekten in privat-rechtlichen Firmen zu finden.

Über das Scheitern und nicht Scheitern von IT Projekten ist schon viel, sehr viel geschrieben worden. Mit all dem Wissen, all den Artikeln, all den Vorträgen, all den wissenden Personen sollten IT Projekte nicht mehr in dem Masse scheitern oder?

Aus meiner Sicht ist primär die Grösse und damit die Dauer eines IT Projektes der kritische Faktor, dies aus zwei Gründen. Je grösser, je mehr Personen nehmen Einfluss, nicht zwingend technisch aber inhaltlich-funktional. Änderungen der Anforderungen im Verlaufe des Projektes verändern sehr oft die Grundlagen eines Projektes. Aber eine andere Grundlage hätte nicht zu dem ursprünglichen Projekt geführt.
Je länger ein Projekt dauert, desto weniger fokussiert müssen die Beteiligten sich um das Projekt kümmern und je mehr kann sich das Umfeld ändern, technisch und organisatorisch. Die Gefahr, dass zusätzlich Anforderungen wechseln steigt ebenso, womit zusätzlich auch das vorhin beschriebene Risiko hinzukommt.

Nicht dass der Eindruck entsteht, grosse Projekte können nicht erfolgreich sein aber die Gefahr eines Scheiterns ist grösser. Als Firma sind strategische Projekte nötig, jedoch plädiere ich für  kleinere agilere Umsetzungsprojekte.

Und das Wichtigste: Absolute Rückendeckung für den Projektleiter um ein Projekt in kurzer Zeit durchpauken zu können!


Heartbleed, Passwörter und eine Lösung dazu

Seit letzter Woche ist endgültig klar geworden, dass Logindaten nirgends sicher sind. Neu ist das eigentlich nicht, und bekannt ist auch, wie Logindaten gesetzt werden sollen.
Sicherlich kennen Sie die Empfehlungen, sichere Passwörter zu setzen, sie regelmässig zu ändern, bei jedem Login ein anderes Passwort zu verwenden und wo möglich unterschiedliche Benutzernamen zu gebrauchen.

Ich kann das ohne Hilfe nicht, aber trotzdem halte ich mich an diese Empfehlungen. Und Sie?

Die einzige Lösung bieten Passwortmanager: Sie eignen sich für Einzelpersonen und für Teams. Es gibt Versionen für Windows, für Mac, iPhone/iPad und für Android. Die Nutzung eines Passwortmanagers macht es möglich, alle Empfehlungen einfach und ohne Mehraufwand umzusetzen.

Wie funktioniert ein Passwortmanager?
Im Passwortmanager hinterlegen Sie Ihre Logindaten. Beim Login – z. B. in ein Webmail-Konto, in die Online-Shop-Verwaltung, für einen FTP Upload etc. – kopieren Sie die Logindaten aus dem Passwortmanager in die Eingabefelder.
So müssen Sie sich nur noch ein einziges Passwort merken: das des Passwortmanagers. Weitere Details dazu erkläre ich Ihnen gerne persönlich.

Gehen Sie auf Nummer sicher und richten Sie sich jetzt einen Passwortmanager ein. Ich freue mich, Sie dabei zu unterstützen.

Ausgesuchte Passwortmanager, die ich selbst nutze:
– 1Password (für Mac, Windows, iPhone/iPad)
– Securesafe (für iPhone/iPad, Webseite-Daten liegen auf Server in der Schweiz)
– PasswordSafeSWT (Mac und Windows)
– KeePass Password Safe (Mac und Windows)