Das WordPress-Plugin „WP GDPR Compliance“ soll Webseitenbetreiber bei der Einhaltung der Datenschutzgrundverordnung (DSGVO) unterstützen. Wie heise Security berichtet, können Angreifer durch eine Sicherheitslücke im Plugin die Kontrolle über die komplette WordPress-Installation übernehmen.
Bernhard Krämer
IT-Beratung • Datensicherheit • Webentwicklung
In zahlreichen Foren und Gremien gibt es Diskussionen, ob E-Mail-Anbieter wie web.de, gmx, Gmail, usw. Auftragsverarbeiter im Sinne der DSGVO sind, oder ob es sich um Telekommunikationsdienstleister handelt, mit denen kein Auftragsverarbeitungsvertrag (AV-Vertrag) notwendig ist. Bisher war ich der Meinung, dass es sich um Auftragsverarbeiter handelt, Freemail-Anbieter jedoch keine AV-Verträge zur Verfügung stellen, da sie sich vorwiegend an Privatpersonen richten. Ich konnte jedoch auch einige Argumente verstehen, die das Gegenteil belegten.
Da ich mir Aufgrund sehr guter Argumente in der letzten Woche zunehmend unsicher war, was diese Frage betrifft, habe ich Ende letzter Woche folgende Anfrage an das Bayerische Landesamt für Datenschutzaufsicht („BayLDA“) gestellt:
Nach wie vor gilt „123456“ als das beliebteste Passwort. Wenn man bedenkt, dass dieses Passwort in unter 1 Sekunde erraten ist, ist dies sehr erschreckend. Doch wie gelangt man eigentlich an sichere Passwörter?
Sichere Passwörter fallen einem nicht ein, man muss sie sich „bauen“. Im folgenden Beitrag erkläre ich, wie man sich sichere Passwörter erstellt und diese sinnvoll und sicher speichert. Doch vorneweg einige Grundregeln, die für alle Passwörter gelten:
S/MIME (Secure/Multipurpose Internet Mail Extensions) ist eine weitgehend akzeptierte Methode, zum Senden digital signierter und verschlüsselter Nachrichten. Durch die Verwendung von S/MIME beim Versand einer E-Mail, kann der Empfänger sicher sein, dass er genau die Nachricht im Postfach hat, die der Absender abgeschickt hat und nicht von jemanden, der vorgibt, der Absender zu sein oder die E-Mail auf dem Versandweg verändert bzw. verfälscht wurde. Dafür bietet S/MIME kryptografische Sicherheitsdienste, wie Authentifizierung, Nachrichtenintegrität und Ursprungszulassung (anhand von digitalen Signaturen). Es sorgt damit für mehr Datenschutz und -sicherheit (anhand von Verschlüsselung) für die elektronische Nachrichtenübermittlung.
In diesem Beitrag möchte ich anhand von Comodo, Mozilla Thunderbird und Mozilla Firefox die Beantragung und Einrichtung des Zertifikats erläutern. Dies erfordert zwar ein paar Minuten Aufwand ist aber glücklicherweise nicht großartig kompliziert.
Bei meiner Recherche im Internet mit diversen Tools bin ich auf eine offen zugängliche Haus-Steuerung gestoßen. Diese Haussteuerung, welche wohl selbstentwickelt wurde, steht ohne jeglichen Passwortschutz offen im Netz. Sie ermöglicht das Steuern von Licht, der Heizung und der Jalousien.
Während ich mich auf der Oberfläche befand, konnte ich dabei zusehen, wie das Licht im Bad eingeschaltet und kurz darauf das Bad-Fenster geöffnet wurde (siehe Grafik). Anschließend wurde noch das Licht im Duschbereich eingeschaltet.
Über die IP-Adresse konnte ich den Netzanbieter ausfindig machen und habe dort mit drei Service-Mitarbeitern gesprochen. Alle drei waren zunächst ein wenig überfordert und konnten nicht mit der IP-Adresse suchen. Auch nicht in Kombination mit dem in der Wetter-Darstellung angegebenen Wohnort. Die dritte Support-Mitarbeiterin versprach aber sich darum zu kümmern und rief mich nach ca. 10 Minuten zurück. Die Dame am Telefon teilte mir mit, dass Sie die Daten in eine andere Abteilung weitergeleitet habe und diese den Kunden über diese Sicherheitsproblematik informieren werden. Dass der Netzbetreiber mir die Kundendaten nicht mitteilen kann und darf ist selbsterklärend und hätte mich eher verwundert.
Dieser Vorfall zeigt einmal mehr, dass nicht nur Unternehmensnetzwerke abgesichert sein sollten, sondern auch private Netze korrekt konfiguriert werden müssen.
Übrigens: Während ich diesen Beitrag geschrieben habe, wurden die Lichter im Bad wieder ausgeschaltet und das Bad-Fenster wieder geschlossen. Außerdem wurden die Jalousien in Wohnzimmer, Küche und Gästezimmer geschlossen (Modus: Beschatten).
Aus Sicherheitsgründen macht es auf jeden Fall Sinn, die so genannte 2-Faktor-Authentifizierung (eine zweistufige Anmeldung) in möglichst allen Accounts zu aktivieren. Denn dadurch werden gestohlene Zugangsdaten nahezu wertlos.
In diesem Beitrag sammle ich Webseiten welche die sichere 2-Faktor-Authentifizierung anbieten.
Hier eine Übersicht einiger wichtiger und durchaus sehr nützlicher Tastenkombinationen (Shortcuts) unter Windows:
Setzt man bei seiner Web-Applikation SEF-URLs, also suchmaschinenfreundliche URLs, ein, so ist man schon fast gezwungen, URL-Alias zu verwenden. Da hierbei jedoch nicht alle Zeichen erlaubt sind, müssen bestimmte Zeichen ersetzt oder entfernt werden. Ich habe bei meiner Recherche auch keine Funktion gefunden, die dies für mich abnimmt und werde daher meine entwickelten Funktionen hier zur Verfügung stellen.
Wer seinen Twitter-Account zwar aufbauen möchte aber nicht jeden Post bei Facebook und Twitter einzeln posten möchte, der kann seine Facebook-Seite und auch sein Profil mit Twitter verknüpfen.
Während der Entwicklung sollte man die php.ini so konfigurieren, dass alle Fehler angezeigt werden. Nur so kann man sicher sein, sauber zu programmieren und verhindern, dass die Applikation auf anderen System Fehler auswirft. Auf produktiven Systemen sollte Fehler jeglicher Art aber deaktiviert und statt dessen in die Error-Logs geschrieben werden.
© 2018 Bernhard Krämer
Theme von Anders Norén — Hoch ↑