YourHelpCenter.de

"Hilfe & Support für IT Probleme"

• Startseite
• Impressum

Kategorien

• Allgemeines
• Anleitungen
• Apache WebServer
• C# .Net
• cakePHP
• Datenschutz
• Download
• eclipse
• Ext JS
• Linux
• MSSQL
• MySQL
• Oracle
• php
• Ruby on Rails
• Sicherheit
• Spiele
• Windows
• WordPress

Suchen

Aktuelle Artikel

• PHP: Zufallszeichenkette erzeugen (random string)
• .htaccess: Zugriff auf ein Unterverzeichnis erlauben
• WordPress: Besucher protokollieren und auswerten
• mySQL: Update if exists else insert record (SQL statement)
• mySQL: In PHP vor SQL Injection schützen
• C#: “System.Data.XmlReadMode” enthält keine Definition für “WriteSchema” (CS0117)
• C#: SQLite Datenbank einbinden und nutzen (auch für SharpDevelop)
• ExtJS: Fehler “unterminated string literal” bei .load()
• SVN: Die .svn Ordner rekursiv aus den Verzeichnissen löschen
• Linux: Datenträger Partitionierungs Tool

Archiv

• März 2010
• Februar 2010
• Januar 2010
• Dezember 2009
• November 2009
• Oktober 2009
• September 2009
• August 2009
• Juli 2009
• Juni 2009
• Mai 2009
• April 2009
• März 2009
• Februar 2009
• Januar 2009
• Dezember 2008
• November 2008
• Oktober 2008
• September 2008
• August 2008
• Juli 2008

Datenschutz

Ausspähen von ungeschützen Daten ungestraft

Sonntag, 03.01.2010

Im §202a StGB (“Ausspähen von Daten”) steht folgender Text:

(1) Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
(2) Daten im Sinne des Absatzes 1 sind nur solche, die elektronisch, magnetisch oder sonst nicht unmittelbar wahrnehmbar gespeichert sind oder übermittelt werden.

Im Klartext heißt u.a.:

Wenn Sie Ihre Daten nicht durch Passwörter oder andere Schutzmaßnahmen vor dem Zugriff durch Andere (Dritte) schützen, wird der Spion wahrscheinlich straffrei ausgehen. Dabei ist wichtig, dass der Zugang zu Daten in besonderen Fällen auch “versehentliches” Löschen oder Manipulieren einschließt.

Kommt ein Hacker oder anderer Computernutzer also auch Ihren Computer und kann ohne Hürden auf Ihre Daten zugreifen, so hätten Sie bei gelöschten Dateien ggf. nicht einmal die Möglichkeit, den Angreifer anzuzeigen.

Wie leicht das heute gehen kann, zeigen viele Quellen im Internet. Das kann vom “WarDriving” (= teilweise unbemerktes Einwählen in Ihr WLAN Netz z.Bsp. aus dem Auto) oder der Zugriff über das Internet sein (z.Bsp. durch Ausspähen Ihrer aktuellen IP Adresse durch kostenlose und frei zugängliche IP Scanner Tools). Die technische Hürde ist dabei sehr gering. Durch einen Download und eine sehr kurze Anleitung (nicht einmal eine DIN A5 Seite) könnten wir auch einen Computer-Neuling leicht in die Lage versetzen.

Wichtige Punkte zum Schutz Ihrer Daten

• Schützen Sie Ihr Benutzerkonto immer mit einem Passwort
• Wählen Sie ein sicheres Passwort.
  Sichere Passwörter sind mind. 8 Zeichen lang und bestehen aus:
  • Groß- und Kleinbuchstaben
  • Ziffen- und Zahlenkombinationen
  • Enthalten möglichst auch Sonderzeichen (# $ % …)
• Halten Sie Ihre Passwörter geheim
• Speichern Sie Ihre geheimen Daten (z.Bsp. Bank PINs etc.) nicht auf Ihrem Computer
• Vertrauen Sie nicht dem Passwortschutz Ihrer Textverarbeitung.
  Für fast alle Programme gibt es leicht verfügbare Software zum Entfernen oder Anzeigen des benutzten Passwortes. Ein “verschlüsseltes” Textdokument ist heute keine große Hürde mehr und der Angreifen hat beliebig viel Zeit – nachdem er sich Ihre Dateien z,Bsp. auf seinen eigene PC kopiert hat.
• Für sensible Daten nutzen Sie immer Zusatzsoftware wie z.Bsp. TrueCrypt.
  TrueCrypt ist kostenlos erhältlich und erstellt auf Ihrem Computer sog. “Container”. Diese Dateien sind passwortgeschützt und nicht einfach und ohne Spezialwissen zu knacken. Wenn Sie ein sicheres Passwort wählen, ist die Wahrscheinlichkeit des Zugriffes durch Dritte auf diese Daten fast ausgeschlossen oder nur mit extremen Aufwand möglich.
  Webseite von TrueCrypt: www.truecrypt.org
• Legen Sie auch vertrauliche Photos nicht einfach auf Ihrem Computer ab. Intime Bilder können sehr schnell zu Ärgernis werden sobald Sie (im schlimmsten Fall) im Internet auftauchen. Und was einmal im Internet gespeichert wurde kann kaum noch gelöscht werden. Erst recht gegen ausländische Server hat man kaum rechtliche Möglichkeiten.

Schutz Ihres WLAN Netzwerkes

• Verschlüsseln Sie Ihre Netzwerk.
  Eine kurze Anleitung finden Sie im Artikel “Das WLAN Netzwerk einfach schützen” oder im Handbuch Ihres WLAN Routers.
• Lassen Sie nur bekannte MAC Adressen zugreifen.
  Mehr Details dazu finden Sie im o.a. Artikel. Dieser Schritt muss nicht zwingend sein und ist auch durch Hacker schnell zu umgehen – aber normale Hacker und Kids werden dadurch erstmal abgewehrt.

Leitregeln

• Machen Sie es einem Angreifer so schwer wie möglich.
  Je mehr Hürden (Passwörter, Firewall, Portfilter, …) zu überwinden sind, desto wahrscheinlicher ist, dass er zum nächsten (ungeschützen) Computer weiterzieht.
• Wenn Sie Ihr Netzwerk, Ihren Computer und Ihre Daten schützen – dann greift auch der o.a. §202a StGB nicht mehr. Dann ist der Zugriff auf Ihre Daten garantiert kriminell und wird hart bestraft.

Hinweis:

Dieser Artikel enthält rechtliche Informationen. Wir möchten Sie hiermit nur auf die Gefahr hinweisen und können und wollen SIe rechtlich nicht beraten. Für rechtliche Auskünfte suchen Sie bitte immer einen (Fach-)Anwalt auf.

Quelle des Gesetzestextes: http://www.gesetze-im-internet.de/stgb/__202a.html

Sicherheit: Wo photographiert Google Maps StreetView ?

Montag, 02.11.2009

Wenn Sie gerne wissen möchten, wann & wo die Kameraautos von GoogleMaps Orte und Straßen digitalisieren, dann hilft Ihnen die folgende Webseite:

http://maps.google.de/intl/de/help/maps/streetview/faq.html#q9

Wenn Sie der Veröffentlichung von Bildern widersprechen möchten, stellt Google dafür eine gesonderte E-Mailadresse bereit:

streetview-deutschland@google.com

Auch postalisch ist der Widerspruch möglich:

Google Germany GmbH
Betr.: Street View
ABC-Straße 19
20354 Hamburg

Mehr Informationen finden Sie auch auf der Webseite des Bundesdatenschutzbeauftragen.

Sicherheit: Unerlaubte Telefonwerbung (“Cold Calls”)

Sonntag, 01.11.2009

Seit einigen Tagen ruft uns (stets abends und zu nerviger Zeit) die Forsa an. Meist das Callcenter aus Berlin (Tel: 030 / 62882201).

Da wir unsere Telefonnummer niegends angegeben haben, eine sog. “Geheimnummer” haben und immer peinlich genau darauf achten, dass wir immer alle Zusätze bzgl. Werbeanrufe, Marktforschung, Meinungsumfrage etc. streichen … da fällt es uns doch schwer die Anrufe zu akzeptieren.

Auch auf die ausdrückliche Nachfrage, woher unsere Telefonnummer bekannt ist, wer sie weitergegeben hat oder durch welchen Auftraggeber die Forsa an unsere Nummer kam wird nie beantwortet.

Nun haben wir begonnen, für jeden Anruf diese Anzeige über den Erhalt unerlaubter Telefonwerbung auszufüllen:

Link zum PDF Download des Formulares bei der Bundesnetzagentur

Vielleicht hilft es ja auch Ihnen, falls Sie ebenfalls genervt werden und gegen diese Methode vorgehen möchten.

WordPress: Schutz des Administrationsbereiches (wp-admin)

Sonntag, 25.10.2009

Der Administrationsbereich von WordPress ist standardmäßig unter dem Pfad /wp-admin zu erreichen. Das erleichtert die Angriffe auf Ihre Webseite, das Backend und Ihre Daten erheblich, denn der Zugang (Eingang) muss garnicht erst gesucht werden. Ein Angriff kann sofort und einfach beginnen. Meist wird dabei versucht, Ihr Passwort zu erraten oder alternative Benutzer (deren Namen man in Ihren Artikeln auf der Webseite findet) durchprobiert (Brute-Force-Angriffe).

Ein guter, einfacher und kostenloser zusätzlicher Schutz ist die Zugangskontrolle durch Ihren eigenen Webserver. Dabei ist diese Methode durch eine .htaccess Datei auf den Apache Server ausgelegt. Der IIS unterstützt derzeit diese Technik nicht ohne Zusatzprogramme.

Das folgende (kostenlos) PHP Script übernimmt die Erstellung der entsprechenden beiden Dateien (.htaccess und .htpasswd) für Sie.
Dabei läuft das Programm direkt auf Ihrem Server und übermittelt keinerlei Daten.
Natürlich erhalten Sie das uncodierte PHP Script im Sourcecode (Klartext) und können daher die Sicherheit kontrollieren.

Ihre Fragen oder Wünsche nehmen wir immer gerne an und setzen sie um. Wir hoffen, Ihnen dadurch immer ein passendes und aktuelles Tool liefern zu können:

Installation:

1. Laden Sie sich das PHP Script herunter:
   Downloadseite für das PHP Tool (Freeware)
2. Entpacken und speichern Sie das Script auf Ihrem WebServer im Verzeichnis /wp-admin
3. Starten Sie das Programm durch Aufruf im Browser:

   http://www.ihr_server.de/wp-admin/wordpress-secure-admin.php

4. Tragen Sie einen Benutzer und das gewünschte (geheime !) Passwort in die Felder ein und klicken Sie auf “Speichern”.
5. Bevor Ihnen das Formular wieder angezeigt wird, sehen Sie bereits die Schutzabfrage:
   Geben Sie den in Schritt 4 erstellen Benutzer und das Kennwort ein.

Deinstallation:

Sie können den zusätzlichen Schutz jederzeit ohne Schaden für Ihre WordPress-Installation entfernen. Da weder das Script noch die .htaccess / .htpasswd Dateien weitere Daten auf die Festplatte oder in die Datenbank schreiben, reicht zum vollständigen Entfernen folgendes:

• Öffnen Sie das Formular über die URL:

  http://www.ihr_server.de/wp-admin/wordpress-secure-admin.php

• Klicken Sie unten auf dem Formular auf “Komplette Sicherung entfernen”

… oder manuell (z.Bsp. per FTP):

• Löschen Sie im /wp-admin Verzeichnis die folgenden Dateien:
  • .htaccess
  • .htpasswd
  • wordpress-secure-admin.php

Hinweise:

Möchten Sie einige der Unterverzeichnisse von wp-admin (“css” und “images”) trotzdem freigeben, beachten Sie bitte auch unseren Artikel “.htaccess: Zugriff auf ein Unterverzeichnis erlauben“. Dort beschreiben wir die .htacees Technik, die die Freigabe von Unterverzeichnissen innerhalb von geschützten Verzeichnissen erlaubt.

© Copyright 2oo6, 2oo8 by Malte Retzlaff