12.10.2016 | Windows
Über ein Sammel-Update hat Microsoft letzten Dienstag Sicherheits-Lücken in Windows 10 und Office geschlossen. Das Update mit der Version-Nummer 14393.321 sollte dringend installiert werden, denn einige der Probleme wurden bereits aktiv ausgenutzt.
Insgesamt wurden zehn Patches für Windows, Office und andere Software-Programme veröffentlicht. Fünf davon wurden von Microsoft als kritisch eingestuft, und mindestens zwei Lücken wurden bereits von Hackern für Angriffe auf Nutzer ausgenutzt.
- MS16-118 kümmert sich um Fehler im Internet Explorer. Dadurch konnte aus der Ferne Code ausgeführt werden, sobald der Benutzer auf eine manipulierte Website surfte. Außerdem konnte ein Angreifer herausfinden, ob eine Datei auf dem System vorhanden war oder nicht.
- Bei MS16-119 geht es um Probleme im Edge-Browser mit ähnlichen Folgen wie bei den Internet Explorer-Fehlern.
- Auch in der Microsoft Graphics Component wurde ein kritisches Problem entdeckt, dass durch den Patch MS16-120 behoben wird. Dieses Problem betrifft alle Versionen von Windows, Office 2007 und 2010, Skype for Business 2016, Silverlight und Lync 2013 und 2010 sowie verschiedene .NET-Programme. Beim Besuch einer manipulierten Website konnte durch diesen Fehler ferngesteuert Quellcode ausgeführt werden.
- In MS 16-122 geht es um eine kritische Sicherheits-Lücke in Windows, und zwar in Verbindung mit dem Video-Steuerelement. Durch die Art und Weise, wie das System Objekte im Arbeitsspeicher behandelt, konnte ein Angreifer beliebigen Quellcode auf dem Ziel-Computer ausführen.
- Schließlich wurden in MS16-127 kritische Fehler im Adobe Flash Player behoben. Dies bezieht sich auf sämtliche unterstützten Windows- und Internet Explorer-Versionen sowie auf den Microsoft Edge-Browser. Durch die Korrektur werden nicht weniger als zwölf bekannte Lücken in Flash Player geschlossen.
Wie immer lassen sich sämtliche Updates in einem Rutsch über die Funktion Windows Update installieren, die in Windows 10 über Start, Einstellungen, Update und Sicherheit, Windows Update erreichbar ist.
08.09.2016 | Tipps
Wenn Apple seine neue Smartphone-Reihe vorstellt, schauen alle gebannt nach Cupertino. Dieses Jahr war es genauso. Große Überraschungen gabe es eigentlich nicht, denn die Gerüchte-Industrie läuft wie geschmiert. Die meisten im Vorfeld kolportierten Wahrscheinlichkeiten wie wasserdicht, keine Miniklinke mehr, drahtlose Kopfhörer, überarbeitete Kamera haben sich bewahrheitet.
(mehr …)
05.09.2016 | Windows
Kaum zu glauben, aber noch immer gibt es das eine oder andere Programm oder Tool, das auf die Java-Laufzeit setzt. In Windows 10 ist Java aber nicht enthalten. In diesem Fall muss man Java manuell installieren. Hier steht, wie das geht.
Chrome und Edge unterstützen Java sowieso nicht. Für Internet Explorer 11 und Firefox lässt sich Java aber installieren. Und zwar wie folgt:
- Zuerst auf java.com surfen.
- Erscheint eine Meldung über Cookies, diese akzeptieren.
- Jetzt auf den großen Download-Button klicken.
- Dann nochmal auf den Download-Button klicken.
- Nun findet sich der Java-Installer im Downloads-Ordner, von wo er gestartet wird.
- Danach noch Admin-Rechte gewähren, dann startet die Installation.
Achtung: Bei der Installation bei etwaiger eingeschleppter Zusatz-Software den Haken entfernen.
29.08.2016 | iOS
Apple wird Anfang September das neue iPhone vorstellen. Ob es iPhone 7, 6SE oder noch anders heißen wird, weiß noch keiner. Zu kaufen sein wird es ab 23. September. Zeitgleich erscheint auch das nächste große Update für mobile Apple-Geräte, iOS 10.
Was weitere Hardware angeht, wirft man am besten einen Blick auf die Geräte des letzten Jahres: Vorgestellt wurden das iPhone 6S und 6S Plus, das iPad Pro und das iPad mini 4, ein neuer Apple TV und weitere Farben für die Apple Watch. Alle diese Produkte könnten auch jetzt wieder an der Reihe sein, was neue Versionen angeht.
Dann gibt es auch noch die MacBook Pros und die Thunderbolt-Bildschirme, die sich über aktualisierte Modelle freuen würden. Wer am 7. September 2016 nicht live vor Ort im Bill Graham Civic Auditorium in San Francisco sein kann, der hat auch die Möglichkeit, mit Safari am Mac oder Microsoft Edge in Windows 10 den Stream des Events zu verfolgen.
18.08.2016 | Windows
Bei Microsoft arbeitet man bereits fleißig am Nachfolger des Windows 10 Anniversary Updates. Teilnehmer am Windows Insider-Programm können jetzt auf dem PC und am Handy die neue Vorschau-Version Build 14905 testen, die zum GRATIS-Download bereitsteht.
Für diese Version hat Microsoft einige nervige Fehler behoben, unter anderem beim Edge-Browser. Hier die Liste der Korrekturen:
- Durch einen Fehler kam es zu einem großen Freiraum zwischen der Adress-Leiste und dem Web-Inhalt, nachdem man einen neuen Tab geöffnet hat und die Adress-Leiste wieder nach oben verschoben wurde.
- Durch Drücken von [Strg]+[O] kann jetzt der Fokus direkt in die Adress-Leiste gesetzt werden, wo man einen Such-Begriff oder eine URL eingeben kann.
- Zudem wurden auch Fehler mit der Sprach-Ausgabe und den Apps Sketchpad und Screen Sketch behoben.
Dieser Build 14905 der „Redstone 2“-Reihe kann von Windows-Insidern über Start, Einstellungen, Update und Sicherheit, Windows Update bezogen und installiert werden.
11.08.2016 | Tipps
Früher waren es Windows-Rechner, die es Hackern und Datendieben angetan haben – heute sind es eher Android-Geräte. Denn hier ist die Ausbeute besonders hoch: Gibt es ein Sicherheitsleck, sind gleich besonders viele Geräte betroffen.
Ein Eldorado für Hacker und Datendiebe, könnte man sagen. Nahezu eine Milliarde Geräte sind von einem neu entdeckten Sicherheitsleck betroffen, das die Entdecker Quadrooter getauft haben. „Quad“, weil es vier Sicherheitlecks sind, „rooter“, weil das Sicherheitsleck den Angreifern Root-Rechte gewährt.
Albtraum: Leck mit Root-Rechten
Beim Schlagwort Root-Rechte klingeln bei Sicherheitsexperten gleich die Alarmglocken. Denn hat ein Benutzer oder ein Programm Root-Rechte, ist alles möglich: Dann kann der Speicher ausgelesen oder manipuliert, Programme können gestoppt oder gestartet werden, die angeschlossenen Geräte lassen sich manipulieren. Einfach alles ist machbar – und das sogar aus der Ferne: Man muss nicht am Gerät sitzen, um ein Programm mit Root-Rechten auszuführen.
Die israelische Sicherheitsfirma Check Point hat das Leck im April entdeckt und jetzt öffentlich gemacht. Es sind sogar vier Lecks: Programmierfehler, die im LTE-Modul des Betriebssystems enthalten sind, also in dem Bereich des Mobilgeräts, das für den mobilen Datenfunk zuständig ist. Experten sagen, die neu entdeckte Lücke sei verwandt mit der Sicherheitslücke Stagefright, die vor einem Jahr entdeckt und als „Mutter aller Android-Sicherheitslücken“ bekannt wurde.
Bislang noch nicht ausgenutzt
Betroffen sind ausschließlich Geräte mit Android-Betriebssystem und hier eher Geräte neueren Datums, die für den Datenfunkstandard LTE gerüstet sind. Darunter sind Geräte wie Samsungs Galaxy S7 und S7 Edge, das LG G4, G5 und V10 sowie das OnePlus One, 2 und 3 sowie Google Nexus und andere Geräte. Über eine Milliarde Geräte sind betroffen. Leider gibt es noch keinen Online-Check, um herauszufinden, ob das eigene, verwendete Gerät betroffen ist oder nicht.
Die gute Nachricht: Bislang wird das Leck wohl noch nicht ausgenutzt. Viel ist dazu allerdings nicht nötig. Angreifer müssen lediglich eine spezielle App entwickeln und unter die Leute bringen, die das Leck gezielt ausnutzt.
Die App muss noch nicht einmal spezielle Rechte anfordern. Es fällt also gar nicht auf, wenn man so eine App lädt oder startet, denn die Lecks befinden sich im Kernbereich des Betriebssystems, im Mobilfunk. Zur Nutzung des Mobilfunks müssen Apps keine Rechte anfordern.
So kann sich jeder schützen
Check Point hat den Fehler bereits im April entdeckt und dem Hersteller der Software mitgeteilt, es handelt sich dabei um die US-Firma Qualcomm, die rund 65% aller Mobilgeräte mit Hard- und Software für den Mobilfunk ausrüstet. Die Lecks wurden gestopft – aber nun müssen die Gerätehersteller ihre Software aktualisieren und die Kunden damit versorgen. Das dauert.
Man sollte prüfen, ob bereits Aktualisierungen/Updates für das eigene Gerät vorliegen und diese Updates dann auch installieren. Apps sollten nur noch aus dem Google Play Store geladen werden, das reduziert das Risiko, sich eine manipulierte App einzufangen, die die Sicherheitslücken ausnutzt.
Außerdem sollte man nur WLANs benutzen, die vertrauenswürdig sind, denn in einem fremden WLAN können einem grundsätzlich auch Programme und Schadcode untergejubelt werden, erst recht, wenn Sicherheitslecks bestehen. Idealerweise hat man auf seinem Android-Gerät auch noch einen Virenscanner aktiv, der zusätzlichen Schutz bietet.
In solchen Situationen sind die Nachteile von Android überdeutlich zu erkennen: Wenn es Sicherheitslecks gibt, die in den Untiefen des Betriebssystems verborgen sind, ist es schwer zu sagen, welche Geräte und welche Versionen des Betriebssystems betroffen sind – und der Update-Prozess ist besonders schwierig und zeitaufwändig, weil es für Android nun mal keine zentrale Stelle für Updates gibt. Jeder Gerätehersteller muss seine Kunden separat versorgen – und da sind manche schneller als andere.
Dieses Problem hat man bei iOS und Windows nicht.
28.07.2016 | Windows
Am 29. Juli 2015 erschien Windows 10 – mit dem Versprechen, dass Nutzer von Windows 7, 8 und 8.1 ein Jahr lang kostenlos upgraden können. Dieses Jahr ist nun beinahe um. Höchste Zeit also, zu handeln.
Gründe für das Upgrade gibt es viele. Doch nicht jeder interessiert sich dafür. Wer heute noch Windows 7 oder 8.1 einsetzt, hat immerhin lang genug die ständigen Erinnerungen ignoriert.
Doch es kommen neue und interessante Funktionen für Windows 10. Das Anniversary Update erscheint am 2. August und bringt zum Beispiel Erweiterungen für den Edge-Browser, Verbesserungen bei Cortana, Windows Ink und die Möglichkeit, auch klassische Programme aus dem Windows Store zu beziehen.
Selbst wer Windows 10 momentan nicht einsetzen will, sollte vom Upgrade Gebrauch machen. Warum? Wurde Windows 10 einmal auf einem Computer installiert, ist das Gerät lizenziert. Dann kann man zu Windows 7 oder 8.1 zurückkehren und ist in der Lage, auch später noch jederzeit kostenlos auf Windows 10 zu upgraden.
Bringt das Anniversary Update also noch nicht die gewünschten System-Funktionen, könnte es bei dem folgenden Update (2017) oder noch später sehr wohl interessant werden. Gut, wenn man sich dann ohne Kosten für ein Upgrade auf Windows 10 entscheiden kann.
13.07.2016 | Tipps
Bei Webseiten gehört es heute zum guten Ton, die Datenverbindung zu verschlüsseln, damit Hacker und Geheimdienste keine Chance haben. Doch ausgerechnet bei der eMail verzichten wir auf diesen effektiven Schutz: eMails werden fast immer unverschlüsselt ausgetauscht. Theoretisch kann jeder den Inhalt mitlesen.
Der Grund: Es ist nicht ganz einfach, eine eMail zu verschlüsseln. Zum einen müssen für ein paar technische und organisatorische Hürden gemeistert werden, zum anderen müssen beide – Sender und Empfänger der eMail – mit der Verschlüsselung klar kommen.
Man braucht nicht nur die passende Software, die es zwar in der Regel kostenlos gibt, die man aber installieren und einrichten muss, sondern auch einen geheimen Schlüssel, damit die Mail chiffriert werden kann. Der Empfänger braucht ebenfalls einen Schlüssel, um die chiffrierte Botschaft wieder zu entziffern.
Leider haben sich Mail-Provider und Entwickler von Mail-Clients bislang nicht auf einen einheitlichen Standard einigen können. Deshalb gibt es keine universelle Lösung, die jeder ohne Aufwand nutzen könnte. Wer seine Mails verschlüsseln will, muss Schritt für Schritt vorgehen – und etwas Aufwand betreiben.
Verschlüsselung mit PGP oder GnuPG
Eine gute Methode ist die asymmetrischen Verschlüsselung mit GnuPG, das mit dem offenen und bewährten PGP bzw. OpenPGP-Standard verschlüsselt. Hier muss kein Passwort ausgetauscht werden. Sender und Empfänger haben ihre eigenen, individuellen Schlüssel, die beim Ver- und Entschlüsseln angewendet werden.
Bei der verschlüsselten Kommunikation wird lediglich der sogenannte öffentliche Schlüssel ausgetauscht. Man kann seinen öffentlichen Schlüssel sogar veröffentlichen, damit einem jeder eine verschlüsselte Mail schicken kann. Entschlüsselt wird mit dem privaten Schlüssel, den man sicher ablegen und unter keinen Umständen herausgeben sollte.
Es gibt kostenlose Erweiterungen für gängige Mail-Programme wie Mail, Outlook oder Thunderbird, um die Verschlüsselung zu automatisieren. Einmal eingerichtet, kann dann jede verschickte eMail auf Wunsch verschlüsselt werden – ebenso einfach lassen sich verschlüsselt eintreffende eMails entschlüsseln. Bei der ersten Anwendung muss ein Schlüsselpaar erzeugt werden, der öffentliche Schlüssel wird in Katalogen geführt, damit andere einem verschlüsselte Nachrichten schicken können.
Volksverschlüsselung soll alles einfacher machen
Die Volksverschlüsselung soll alles einfacher machen, eine Idee und ein Projekt von Telekom und Fraunhofer Institut für sichere Informationstechnologie. Die beiden zusammen wollen das Verschlüsseln von eMails deutlich einfacher machen als bisher – und den Austausch von eMails für uns alle sicherer.
Es ist Spezial-Software nötig. Im Augenblick gibt es die nur für Windows-Rechner und da auch nur für die Mail-Programme Outlook und Thunderbird. Wer ein anderes Mail-Programm benutzt, kann den Austausch von verschlüsselten Nachrichten nicht über sein Mail-Programm erledigen. Gängige Browser wie Edge, Chrome und Firefox werden unterstützt, damit man auch Web-Mail benutzen kann.
Die Unterstützung für macOS und iOS ist für später angekündigt, andere Betriebssysteme werden noch was länger dauern. Wenn man die Volksverschlüsselungs-Software geladen hat, müssen beim ersten Start die nötigen Schlüssel erzeugt und hinterlegt werden.
Man braucht immer Schlüsselpaare, bestehend aus öffentlichem Schlüssel – den darf jeder sehen, zum Ver- und Entschlüsseln der Nachrichten, die mit mir ausgetauscht werden – und privaten Schlüssel. Die Mail-Software wird entsprechend konfiguriert, damit die Mails verschlüsselt werden. Damit wird dann eine sichere Ende-zu-Ende-Verschlüsselung ermöglicht.
Bequemes Verschlüsseln im Browser
Einfacher geht es mit ProtonMail. Der schweizerische eMail-Anbieter verschlüsselt mit wenigen Klicks alle Nachrichten auf sichere Art und Weise. Dazu nutzt er die Standards AES, RSA und OpenPGP, die als nahezu unknackbar gelten. Senden sich ProtonMail-Nutzer untereinander eMails, merken sie von der Verschlüsselung überhaupt nichts. Sie läuft vollständig transparent auf den Servern des Anbieters ab. Das ist sehr benutzerfreundlich.
Sendet der Anwender jedoch eine eMail an einen Nutzer von Google, Yahoo, GMX, Web.de oder einen anderen Drittanbieter, muss er ein Passwort eingeben. Nur mit diesem Passwort entschlüsselt der Empfänger die Nachricht, die daraufhin im Browser angezeigt wird. Der Empfänger muss weder selbst ein Konto bei ProtonMail eröffnen, noch eine spezielle Software installieren.
Der sichere eMail-Service ist grundsätzlich gratis. Das kostenlose Basiskonto enthält eine eMail-Adresse mit der Endung @protonmail.com sowie 500 Megabyte Speicherplatz. Außerdem darf jeder Benutzer „nur“ 150 eMails am Tag versenden. Für die meisten Anwender sollte das ausreichen, andere können das Konto kostenpflichtig erweitern.
ProtonMail lässt sich lediglich über die Webseite des Anbieters oder über die Apps für Android und iOS nutzen. Da die Mail-Protokolle IMAP, SMTP und POP3 derzeit noch nicht unterstützt werden, funktioniert der Dienst nicht mit eMail-Programmen wie Outlook oder Thunderbird. Außerdem spricht ProtonMail aktuell nur Englisch.
Die Verantwortlichen betonen übrigens, dass sie selbst keinen Zugriff auf die Daten der Kunden haben. Diese liegen so verschlüsselt auf den Servern des Anbieters, dass dieser selbst nicht heran kann. Das gilt damit ebenso für Geheimdienste, Hacker & Co.
29.06.2016 | Tipps
Das Internet ist ein denkbar indiskreter Ort. Was nicht verschlüsselt wird, das kann grundsätzlich mitgelesen werden, theoretisch von jedem, der sich Zugang dazu verschafft. Das ist auch der Grund, wieso Webseiten heute in der Regel Daten verschlüsselt übertragen, und auch Messenger wie WhatsApp verschlüsseln heute die Kommunikation, ohne dass wir das groß merken.
Aber ausgerechnet die E-Mail, die wir täglich nutzen und der wir vieles anvertrauen, läuft heute in der Regel unverschlüsselt ab. Was bedeutet – siehe oben – jeder kann mitlesen. Das soll anders werden, denn jetzt wurde ein Projekt namens Volksverschlüsselung gestartet.
Volksverschlüsselung: Das klingt nach einem deutschen Projekt. Wer steckt dahinter?
Das ist richtig: Die Volksverschlüsselung ist eine Idee und ein Projekt von Telekom und Fraunhofer Institut für sichere Informationstechnologie. Die beiden zusammen wollen das Verschlüsseln von E-Mails deutlich einfacher machen als bisher – und den Austausch von E-Mails für uns alle sicherer.
Das wurde schon im November vergangenen Jahres angekündigt und auch auf der CeBIT im März diesen Jahres noch mal angekündigt, jetzt ist es aber so weit, der Startschuss ist gefallen. Das ist wichtig, denn das Verschlüsseln von E-Mails ist zwar möglich, aber immer noch vergleichsweise schwierig, weil man sich Extra-Software besorgen muss und damit kommt nicht jeder klar.
Wer kann denn da mitmachen – und wie geht es?
Erst mal Kunden der Telekom. Die Möglichkeit zur Volksverschlüsselung soll da demnächst im Portal angeboten werden. Man muss sich mit Personalausweis registrieren, denn es geht ja gerade darum, dass jeder User auch wirklich überprüft ist.
Wenn jemand von mir eine Mail bekommt, die zertifiziert ist, muss auch sicher sein, dass nicht nur Jörg Schieb drauf steht, sondern auch Jörg Schieb dahinter steht. Später soll man sich auch in den T-Punkten der Telekom vorstellen können: Personalausweis herzeigen und Volksverschlüsselungskonto eröffnen.
Brauche ich spezielle Software dafür?
Allerdings, es ist Spezial-Software nötig. Im Augenblick gibt es die nur für Windows-Rechner und da auch nur für die Mail-Programme Outlook und Thunderbird. Wer ein anderes Mail-Programm benutzt, kann den Austausch von verschlüsselten Nachrichten nicht über sein Mail-Programm erledigen. Gängige Browser wie Edge, Chrome und Firefox werden unterstützt, damit man auch Web-Mail benutzen kann.
Die Unterstützung für macOS und iOS ist für später angekündigt, andere Betriebssysteme werden noch was länger dauern. Das ist schon ein Ding, dass nicht macOS, iOS und Android von Anfang an unterstützt werden, denn das schränkt die angebliche „Volks“verschlüsselung doch gleich erheblich ein. In Wahrheit ist es eine Windows-Verschlüsselung, zumindest noch. Angesichts der langen Vorbereitungszeiten ist mir das unerklärlich.
Also gut: Wenn ich also Windows-User bin und die passende Software haben, wie einfach ist es dann mit dem Verschlüsseln?
Wenn man die Volksverschlüsselungs-Software geladen hat, müssen beim ersten Start die nötigen Schlüssel erzeugt und hinterlegt werden. Man braucht immer Schlüsselpaare, bestehend aus öffentlichem Schlüssel – den darf jeder sehen, zum Ver- und Entschlüsseln der Nachrichten, die mit mir ausgetauscht werden – und privaten Schlüssel.
Den darf ich auf keienn Fall herausgeben, der gehört nur mir. Das erledigt die Software automatisch. Die Mail-Software wird entsprechend konfiguriert, damit die Mails verschlüsselt werden. Damit wird dann eine sichere Ende-zu-Ende-Verschlüsselung ermöglicht.
Ist denn das wirklich sicher?
Dass in diesem Fall das Fraunhofer Institut mitmacht und es ist das Institut, das die Schlüssel generiert und verwaltet, macht die Sache glaubwürdig. Wenn die Telekom die Schlüssel erzeugen würde, wären sicher viele skeptisch. Die Telekom verwendet hier das X.509-Zertifikat. Das ist nicht nur weit verbreitet, sondern auch OpenSource, das bedeutet, jeder kann sich davon überzeugen, dass es keine Hintertüren gibt. Das ist schon gut durchdacht.
Wie sieht es denn mit anderen Anbietern aus?
Die Telekom-Konkurrenz 1&1 mit Web.de und GMX hat schon vor einigen Monaten die Verschlüsselung von Mails per PGP eingeführt. Die De-Mail von Web.de und Co. funktioniert nach einem ähnlichen Konzept, auch hier muss man sich mit Personalausweis anmelden, dafür kann man rechtssicher kommunizieren, auch mit Banken und Behörden. Das Angebot wird allerdings praktisch nicht benutzt, zum einen, weil kaum Behörden das unterstützen und viele die Anmeldung mit Personalausweis scheuen.
Wie ist das Angebot?
Es ist begrüßenswert, dass sich in diesem Bereich was tut. Warum man allerdings nur ein Betriebssystem unterstützt und so wenig Software, ist mir schleierhaft. Das sorgt nicht für den nötigen Effekt, schließlich müssen Sender und Empfänger in der Lage sein, mit verschlüsselten Nachrichten klarzukommen. Je weniger Betriebssysteme und Software unterstützt werden, um so schlechter.
27.06.2016 | Tipps
Viele Internet-Nutzer sind wahre Multi-Tasking-Experten: Sie laden Dutzende oder gar noch mehr Browser-Tabs gleichzeitig und lesen sie irgendwann später. Wer das so macht, braucht sich dann aber nicht über eine doppelt lahme Internet-Leitung zu wundern.
Denn die so im Hintergrund in Tabs wartenden Internet-Seiten warten nicht einfach nur, nachdem sie einmal geladen wurden. Die meisten Seiten enthalten nämlich Tracking-Pixel und oft noch mehr aktive Elemente.
Das bewirkt, dass die Seiten von selbst, also auch im Hintergrund, Daten aus dem Internet nachladen – auch wenn man das gar nicht will. Besser als die Tabs im Hintergrund offen zu haben, sind daher Lösungen wie das Offline-Speichern einer Seite oder die Nutzung der Lese-Liste (etwa in Edge oder Safari, mit Pocket auch in weiteren Browsern wie Firefox).
Weiterer Vorteil: So archivierte Seiten lassen sich auch offline lesen und stehlen bis dahin keinen wertvollen RAM.
