Die Wahl des richtigen Kennworts ist ein häufig kommentiertes und Interesse weckendes Thema. Daher haben wir uns auch schon vor geraumer Zeit damit beschäftigt und sind der Frage nachgegangen, was ein gutes Kennwort ausmacht und mit welchen Tricks Sie Ihre eigenes, leicht zu merkendes und gleichzeitig schwer zu knackendes Kennwort heran erstellen.
Dieses Themas hat sich auch der Blog PrivacyTutor angenommen, und das noch ein gutes Stück weiter, als wir das seinerzeit getan haben. Herausgekommen ist ein umfassender Beitrag, der genau zeigt, wie man Passwörter richtig generiert bzw. verwaltet und mit welchen Anwendungen (sogenannte Passwortmanager) man seine Kennwörter pflegt und administriert. Darüber hinaus lernen die Leser, warum jede Anwendung und jede Webseite ein eigenes Kennwort bekommen sollte.
Seit ziemlich genau 15 Jahren, also seit 2003, erobert ein Unternehmen aus San Francisco, Kalifornien, die digitale Welt. Sein Name: DocuSign. Sein Ziel: das Unterzeichnen von wichtigen und sensiblen Schriftstücken in rein digitaler Form. Was die völlige Abkehr von Fax und Co. bedeutet. Da wir bei Hülskötter & Partner uns der vollständigen Digitalisierung unseres Unternehmens verschrieben haben, setzen wir jetzt auch den DocuSign-Dienst mit all seinen Vorzügen ein.
eIDAS-Konformität sorgt für Rechtssicherheit und europaweites Vertrauen
Zum wichtigstes Merkmal von DocuSign ist deren Konformität gemäß der eIDAS-Norm. Dabei handelt es sich um eine EU-Verordnung, die in allen EU-Mitgliedsstaaten gültig ist und die Rechtssicherheit von elektronischen Signaturen und digitalen Unterschriften gewährleistet. Damit können Anwender und Unternehmen DocuSign guten Gewissens nutzen, weshalb wir das auch tun.
DocuSign unterstützt Unternehmen bei der Digitalisierung ihrer Prozesse
Mit DocuSign werden unsere Arbeitsprozesse insgesamt digitaler, ein weiterer wesentlicher Vorzug der Lösung. Doch kommt DocuSign nicht nur intern bei Hülskötter & Partner zum Einsatz, sondern auch bei der Kommunikation mit Kunden, Geschäftspartnern und Lieferanten. Damit können besonders sicherheitskritische Dokumente jederzeit und von jedem Ort aus unterschrieben werden, und zwar rein digital. Das beschleunigt die Arbeitsabläufe ganz erheblich, was sowohl unseren Kunden als auch uns zugute kommt.
DocuSign lässt sich per Webbrowser und App nutzen
Rein technisch kann DocuSign auf nahezu jedem Endgerät genutzt werden, also auch mit Smartphone und Tablet, wofür es eigene Apps gibt, die das komfortable und sichere, digitale Unterzeichnen von Dokumenten erlauben. Schön an DocuSign ist auch ihre Synchronisationsfunktion: Damit wird im Falle mehrerer Unterschriftsparteien automatisch eine Version des unterzeichneten Dokuments zugestellt.
Unterschriften auf einem abgesicherten Server innerhalb der EU
DocuSign folgt einem recht simplen Prinzip: Zu unterzeichnende Dokumente wie ein Vertrag oder Angebot werden in einem digitalen Umschlag abgelegt und auf dem E-Mail-Weg der beteiligten Vertragspartei zugestellt. Allerdings befindet sich nicht der digitale Umschlag mit dem Dokument in der E-Mail, sondern nur eine Referenz auf das zu unterzeichnende Schriftstück, das sich sehr sicher und DSGVO-konform auf einem DocuSign-Server befindet.
Von dort können die Dokumente auf den eigenen Rechner geladen, unterzeichnet und dann wieder zurückgespeichert werden. Sollten sich darüber hinaus Änderungen an den Vertragsdokumenten ergeben, lassen sich diese VOR dem Unterzeichnen und Hochladen auf den DocuSign-Server vornehmen. Verträge und Co. können aber auch direkt am Bildschirm unterschrieben werden.
Ende-zu-Ende-Verschlüsselung für noch mehr Sicherheit
Die Sicherheit wird bei DocuSign natürlich sehr ernst genommen. So befinden sich sämtliche DocuSign-Server innerhalb der europäischen Union, und der Austausch der digitalen Umschläge erfolgt auf Basis einer abhörsicheren Ende-zu-Ende-Verschlüsselung. Zudem sorgt die eIDAS-Norm für eine rechtsgültige Unterschrift. Im folgenden Video spricht Jennifer Hülskötter von Hülskötter & Partner über die Gründe, die für den Einsatz von DocuSign maßgeblich sind.
Sämtliche Prozessoren von Intel, ARM und AMD weisen derzeit erhebliche Sicherheitslücken auf, die Anfang Januar 2018 öffentlich bekannt wurden.
Mit den auf die Namen „Spectre“ und „Meltdown“ getauften Prozessorschwachstellen soll es möglich sein, auf Daten zuzugreifen, die sich in sicher geglaubten Bereichen des CPU-Speichers oder auf Webseiten befinden. Dies hat vor allem mit den Prozessorarchitekturen der Intel-, AMD- und ARM-CPUs zu tun.
Intel, ARM und AMD: Alle sind mehr oder weniger betroffen
Betroffen sind vor allem Intel-Prozessoren, die seit 2008 gebaut und produziert werden, namentlich die CPUs der Intel-Core-Reihe (Intel Core i3, i5 und i7) sowie die Intel Atom-Prozessoren der Serien C, E, A, x3 und Z sowie die Celeron- und Pentium-Reihen J und N. Außerdem sind betroffen: Intel Xeon 3400, 3600, 5500, 5600, 6500 und 7500 sowie die Xeon-Familien E3 (v1 bis v6), E5 (v1 bis v4), E7 (v1 bis v4). Auch anfällig sind Prozessoren der Serie Xeon Scalable und die Rechenkarten Xeon Phi 3200, 5200 und 7200.
ARM-Prozessoren der Cortex-Serie sind ebenfalls betroffen. Diese stecken vor allem in Smartphones und Tablet-Computern. So hat Apple beispielsweise schon eingeräumt, dass sämtliche iPhone-Modelle den Prozessor-Bug aufweisen. Die Liste sämtlich unsicherer ARM-CPUs werden auf der zugehörigen ARM-Seite aufgelistet.
AMD-Prozessoren hingegen sind aufgrund ihrer von Intel- und ARM-CPUs unterschiedlichen Technik nicht im selben Umfang von Spectre und Meltdown betroffen, jedoch nicht komplett unangreifbar.
Was man als Anwender gegen Spectre und Meltdown tun kann
Die Prozessor-Bugs der Intel-, ARM- und AMD-Prozessoren, die laut Google eingeweihten Kreisen von Intel bereits seit Mitte 2017 bekannt sind, lassen sich auf zwei Wegen beheben: Durch angepasste Betriebssysteme und Updates auf Browser-Seite.
Seitens der Browser-Anbieter stehen erste Patches bereit, so wie beispielsweise für den Mozilla Firefox-Browser mit der Version 57.0.4. Google Chrome-Anwendern wird bis zu einem sicheren Update empfohlen, die Option „Website-Isolierung“ zu aktivieren. Dazu muss man in die Adressleiste des Chrome-Browsers die Kommandozeile chrome://flags/#enable-site-per-process eingeben und hinter „Strict site isolation“ auf den Button „Aktivieren“ klicken.
Microsoft hat ebenfalls bereits einen einen Patch für seine Browser Edge und Internet Explorer veröffentlicht. Apple arbeitet laut eigener Aussage an einem Update für ihren Safari-Browser.
Microsoft, Apple, Google und Linux arbeiten an Updates für ihre Betriebssysteme
Die zweite Option, sich vor Spectre- und Meltdown-Attacken zu schützen, ist ein vollumfängliches Sicherheits-Update des Betriebssystems. So sollen Windows-10-Rechner bereits mit dem notwendigen Update automatisch versorgt werden, bei Bedarf kann es über die Microsoft-Update-Katalogseite installiert werden. Rechner mit Windows 7 und Windows 8.1 werden erst am regulären Patchday auf einen sicheren Stand gebracht, der auf den 16. Januar 2018 fällt.
Apple war ebenfalls aktiv und hat in den aktuellen Betriebssystemversionen von macOS (10.13.2), iOS (11.2) und tvOS (11.2) erste Sicherheitsmaßnahmen ergriffen. Weitere Patches werden in den nächsten Tagen erwartet. Zudem rät Apple, Software für Mac, iPhone und Co. nur aus vertraueneswürdigen Softwarequellen wie dem App Store zu installieren. Denn für die Angriffsszenarien „Meltdown“ und „Spectre“ sind bösartige Anwendungen und Apps erforderlich, die nicht in den Apple Appstore gelangen können. Update 9.1.2018: Apple hat iOS 11.2.2 zum Download freigegeben. Damit sollen die Gefahren, die von Spectre und Meltdown ausgehen, weiter eingeschränkt werden.
Google hat die Schwachstellen ebenfalls entfernt, und das mit dem Januar-Sicherheitspatch für Android. Dies betrifft zunächst nur die Smartphones aus der Google-eigenen Pixel- und Nexus-Serie. Wann und ob alle anderen Hersteller wie Samsung oder LG nachziehen, ist derzeit nicht bekannt.
Und was macht Intel?
Nun, der Prozessorhersteller hat angekündigt, bis Mitte Januar 2018 90 Prozent seiner Prozessoren der letzten fünf Jahre mithilfe geeigneter Patches gegen Spectre und Meltdown absichern zu wollen. Was mit den CPUs geschieht, die vor 2012 produziert wurden, ist derzeit leider nicht klar.
[Update 3.9.2018] Seit heute soll das besondere elektronische Anwaltspostfach endgültig nutzbar sein. In einem ersten Schritt sind alle rund 160.000 in Deutschland zugelassenen Anwältinnen und Anwälte vom heutigen Tage zu einer passiven Nutzung des beA verpflichtet. Was das bedeutet und mit welchen Maßnahmen wir Sie dabei unterstützen, erfahren Sie im zugehörigen Beitrag auf unserem Advoblog. [Update 29.1.2018] Am vergangenen Freitag fand in Berlin auf Einladung der BRAK ein sogenanntes BeAthon statt, auf dem anwesende Anwender, Sicherheitsexperten und Entwickler über die Zukunft des beA diskutiert haben. Die verantwortliche Entwicklerfirma Atos sowie die ebenfalls involvierte Firma Governikus waren leider nicht anwesend.
Wichtigste Erkenntnis bei diesem Treffen: Sämtliche Anwaltskanzleien, die bereits das Client Security-Programm installiert haben, sollen dieses umgehend von ihren Rechner rückstandsfrei entfernen. Darüber hinaus liegt eine neue, offensichtlich verbesserte und von ihren Schwachstellen befreite Version der beA-Software vor. Die wesentliche Verbesserung besteht in einem individuellen, lokalen Zertifikat, was deutlich sicherer ist als die bisherige Variante wein soll. Wann das beA wieder online gehen kann, ist indes weiterhin unbekannt. [Update 23.1.2018] Am gestrigen Montag kamen im DAV-Haus zu Berlin zahlreiche Experten zum Thema beA zusammen. Mit dabei war unter anderem Markus Drenger vom CCC Darmstadt, der die Schwachstellen des beA kurz vor Weihnachten 2017 ausfindig gemacht hatte. Seine Einschätzung: das beA-System ist in seiner aktuellen Form vollkommen unsicher, sowohl seitens des Webservers als auch gegenüber Angriffen von außen. Zudem weist die Client Security erhebliche Mängel auf. So stelle die Ende-zu-Ende-Verschlüsselung eine „grundlegende Gefährdung“ für das gesamte System dar. Wer übrigens nicht im DAV-Haus auf der Veranstaltung anwesend war: die BRAK!
Die gesamte Veranstaltung steht als Video zur Verfügung. Bei Minute 25 beginnt die Diskussion.
[Update 10.1.2018] Es kommt offensichtlich Bewegung in Sachen beA! So haben sich die BRAK und sämtliche Vertreter der regionalen RAKn zusammengesetzt, um den Stand der Dinge ausführlich zu erörtern. Herausgekommen ist vor allem die Erkenntnis, dass das gesamte beA-System hinsichtlich seiner Sicherheit überprüft werden muss. Dies geschieht mithilfe eines externe Gutachters sowie eines vom BSI (Bundesamt für Sicherheit in der Informationstechnik) empfohlenen Experten. Erst wenn durch deren Analyse und Einschätzung klar wird, wie eine vollständige Sicherheit des beA-Systems garantiert werden kann, geht die Onlineplattform wieder online. [Update 8.1.2018]In einem Sondernewsletter stellt die BRAK den aktuellen Verlauf in Sachen beA nochmals ausführlich dar. Darin weist sie erneut darauf hin, dass die beA-Platform bis auf weiteres offline bleibt und damit die passive Nutzungspflicht außer Kraft gesetzt ist. Zudem entschuldigt sich die BRAK bei der deutschen Anwaltschaft für die Unannehmlichkeiten, die sich aus dem verzögerten Start des Elektronischen Rechtsverkehrs via beA ergeben. [/Update] In einer Presseerklärung teilt die BRAK mit, dass aufgrund einer massiven technischen Sicherheitslücke im beA-Software-Zertifikat das beA-System abgeschaltet bleibt. Weiter noch: Die BRAK empfiehlt sogar, das am 22. Dezember empfohlene Ersatzzertifikat wieder von sämtlichen Rechner zu entfernen, da sich ansonsten Unbefugte auf dem PC mithilfe geeigneter Hackermaßnahmen einschleusen können.
Hierfür kommt laut dem Technikportal heise.de eine sogenannte Man-in-the-Middle-Attacke infrage, die es ermöglicht, sämtlichen Datenverkehr der betroffenen Rechner mitzuschneiden und die Kanzlei entsprechend zu kompromittieren. Damit könnte ein Hacker beispielsweise einen Internetserver bereitstellen, der vorgaukelt, die beA-Plattform zu sein. Und welche Konsequenzen das für die betroffenen Kanzleien nach sich zögen, mag man sich gar nicht vorstellen.
Daher sollten Anwaltskanzleien mithilfe dieses Links unbedingt überprüfen, ob sie das unsichere Zertifikat bereits installiert haben – und gegebenenfalls wieder de-installieren. Dies geschieht mithilfe der Systemsteuerung von Windows, genauer gesagt über die Internetoptionen, und dort über den Reiter „Inhalt“, in dem sich die Schaltfläche „Zertifikate“ befindet. Darüber lässt sich das beA-Zertifikat wieder entfernen.
Wir halten Sie in Sachen beA weiterhin auf dem Laufenden.
Das timeCard-Terminal ist das Herzstück der Zugangskontrolle von Reiner SCT
Auf der Eröffnungsveranstaltung unseres neuen Service- und Seminarzentrums am vergangenen Mittwoch war unter anderem die Firma Reiner SCT anwesend, die ihre Lösungen für die Zeiterfassung und Zutrittskontrolle demonstriert hat. Ich konnte die Gelegenheit nutzen, um mir die Hard- und Software etwas genauer anzusehen. Und ein Videointerview mit dem Vertriebschef für die deutschsprachigen Channelpartner ist auch dabei herausgekommen. Das gibt es dann morgen – so als Nachschlag, quasi.
Das Herz des Zeiterfassungssystems timeCard 4.0 von Reiner SCT ist das MultiTerminal, das über eine eigene Intelligenz verfügt und bestimmt, wer ins Büro hinein darf – und wer nicht. Hierzu hält man vorsignierte Karten vor das Terminalgerät, das auf diesem Weg einen eindeutigen Schlüssel für jeden Zutrittsberechtigten anlegt und diesen auf verschlüsseltem Weg auf dem Server speichert, der im Hintergrund arbeitet. Gleichzeitig wird dieser individuelle Schlüssel auf der Karte abgelegt.
Hält man nun die Karte an den Außensensor, der abhörsicher per Kabel mit dem Terminalgerät verbunden ist, wird der Schlüssel anhand der Datenbank abgeglichen und dem Mitarbeiter oder der Mitarbeiterin wird der Zutritt gewährt, falls diese(r) in der Server-Software registriert ist. Das Tolle an diesem MultiTerminal ist dessen server-unabhängige Funktionsweise: selbst wenn der Rechner mit sämtlichen Zugangsdaten ausfallen sollte, ist stets eine lokale Version der Daten auf dem Terminal gespeichert, sodass beispielsweise bei einem Serverausfall das Zutrittssystem weiterhin funktioniert.
Die timeCard-Software folgt einem ganz einfachen Prinzip: Mithilfe eines Einrichtungsassistenten wird festgelegt, wer, wo, wann das Büro betreten darf. Sie bestimmen also mit wenigen Einträgen, welche Personen Zugang zu Ihrem Büro haben, um welche Eingänge es sich handelt und welche Berechtigungen Sie hierfür vergeben. Sie können dabei definieren, welche Mitarbeiter von wann bis wann Zugang haben, ob am Wochenende gearbeitet werden darf und vieles mehr.
Aber die Software löst auch einen Alarm aus, wenn beispielsweise eine Tür unberechtigt offen steht, die Zugangshardware manipuliert wurde, etc. Hierzu wurden umfassende Protokollfunktionen implementiert, die das komplette Zeiterfassungs- und Zutrittssystem äußerst transparent machen. Und natürlich müssen Sie nicht die ganze Anlage austauschen, wenn mal eine Zugangskarte verloren gehen sollte. Mithilfe der Software lässt sich nämlich anhand der Ausweisnummer die Karte mit wenigen Mausklicks sperren – so einfach ist das.
Seit ziemlich genau 15 Jahren, also seit 2003, erobert ein Unternehmen aus San Francisco, Kalifornien, die digitale Welt. ![Der Prozessor-Super-GAU: So schützen Sie sich vor "Spectre" und "Meltdown" [UPD]](https://advoblog.huelskoetter.info/wp-content/uploads/2018/01/spectre-und-meltdown-verbreiten-derzeit-angst-und-schrecken-2.jpeg)
Sämtliche Prozessoren von Intel, ARM und AMD weisen derzeit erhebliche Sicherheitslücken auf, die Anfang Januar 2018 öffentlich bekannt wurden.
[Update 3.9.2018] Seit heute soll das besondere elektronische Anwaltspostfach endgültig nutzbar sein. In einem ersten Schritt sind alle rund 160.000 in Deutschland zugelassenen Anwältinnen und Anwälte vom heutigen Tage zu einer passiven Nutzung des beA verpflichtet. Was das bedeutet und mit welchen Maßnahmen wir Sie dabei unterstützen, 