Springe zum Hauptinhalt Profilbild Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer



Anfrage
Logo Goebel Consult

Sag Nein zum Routerzwang

Immer mehr Provider untersagen, beliebigen Router verwenden zu dürfen. Nach einem Workshop im Juni bittet die Bundesnetzagentur nun um Stellungnahme. Hier ist meine Stellungnahme dazu.

Wer auch eine schicken möchte:

Sehr geehrte Damen und Herren,

ich bin freiberuflicher Berater für IT-Sicherheit. In meinen Büro- und Privatanschlüssen werden nur Anschlüsse zum Einsatz kommen, die dem

Modell A: Netzzugangsschnittstelle vor dem Leistungsabschlussgerät

entsprechen.

Denn mein Unternehmen muss die Hoheit über die Netzgrenze haben. Aus mehreren Gründen:

  • Unsere Kunden fordern, dass wir unser Netzwerk schützen. Sollte wir gezwungen sein, ein Endgeräte eines TK-Anbieters bei uns zu installieren, so müssten wir dahinter ein zweites Geräte installieren, über das wir die Hoheit haben. Jedes weitere Geräte bedeutet aber nicht nur höheren Strombedarf, sondern auch *höheres Ausfallwahrscheinlichkeit* des Gesamtsystems.

  • Wir könnten keine Vorsorge mehr treffen gegen Hardwareausfall. Wenn der Router/Modem des TK-Anbieters kaputt geht, sind müssten wir warten, bin dieser sich bequemt, Ersatz zu liefern. Nur mit einem Router, den wir unter unserer Hoheit haben, können wir ein Ersatzgerät vorhalten und binnen Minuten einbauen.

  • Als High-tech-IT-Unternehmen können wir uns nicht abhängig machen von Technik-Entscheidungen, die ein TK-Anbieter trifft. Beispielsweise könnte der TK-Anbieter entscheiden, zwangsweise NAT zu aktivieren, oder bestimmte Protokolle zu filtern Damit könnten wir aber einen Großteil unserer Tätigkeiten nicht mehr durchführen. Selbst wenn der Anbieter heute zusagt, dies nicht zu tun, würde ein Router unter seiner Hoheit ermöglichen, dies von heute auf morgen umzustellen -- ohne Chance für uns, Vorsorge zu treffen.

Zudem gibt es einige Marktpolitische Gründe gegen den "Routerzwang":

  • Ein "Routerzwang" würde zudem zu einer Marktverzerrung führen: Nicht mehr die Anschlussnehmer entscheiden, welche Features sie haben sollen, sondern der TK-Anbieter. Der Anschlussnehmer müsste doppelt zahlen: das Gerät des TK-Anbeiters und das, das die gewünschten Features bietet. Denn das Gerät des TK-Anbieters ist ja nicht geschenkt.

  • Ein "Routerzwang" würde TK-Anbietern die Möglichkeit geben, proprietäre, nicht standard-konforme Übertragungsprotokolle zu nutzen. das wiederum könnte Auswirkungen auf die anderen Teilnehmer an der gleichen Leitung haben (ähnlich wie jetzt bereits DSL-Vektoring) und anderenn Anbietern den Zungang zur Teilnehmerleitung verwehren.

  • Damit wäre der Teilnehmer womöglich *nicht mehr frei, seinen TK-Anbieter* zu wechseln. Eine Re-Monopolisierung könnte die Folge sein.

Einen Anbieter, der uns zwingt, einen Router/Modem unter dessen Hoheit anzuschließen, würde bei und aus der Auswahl fallen. Sollte unser momentaner Anbieter dies zukünftig verlangen, würden wir wechseln.

Schönen Gruß
Hartmut Goebel

TrustCenter.de nimmt es mit der Sicherheit nicht mehr so genau

Passwörter im Klartext und unnötige Daten sammeln

Passwörter im Klartext und unnötige Daten sammeln

Früher konnte man bei TrustCenter.de ohne großen Aufwand ein Zertifikat erstellen, das die Gültigkeit der E-mail-Adresse bestätigt. Das ist völlig ausreichend, um E-mails verschlüsselt zu verschicken und empfangen.

Heute nun ist mein Zertifikat abgelaufen und ich benötige ein neues. Ich habe mich entschieden, zur Abwechslung mal wieder eine Zertifikat von "TC Trustcenter" zu nehmen. Immerhin hat die Firma ihren Sitz in Deutschland.

/images/2013/tc-trustcenter-2013-1.png

Von TC Trustcenter war ich abgekommen, weil sie zu viele Daten haben wollen, um ein simples Zertifikat nur auf die E-mail-Adresse zu erstellen. Ich hatte mich damals sogar beim Hamburger Datenschutzbeauftragten beschwert, der auch nachgefragt hat.TC Trustcenter hat dann anscheinend irgendwas von "brauchen wir, um im Notfall die Zertifikatsnehmer zu kontaktieren" erzählt und der Datenschutzbeauftragte war zufrieden. Ich nicht!

Trotzdem heute ein neuer Versuch -- und ich bin leicht entsetzt!

Noch immer werden die Adresse und die Telefonnummer abgefragt – das Formular lässt sich aber mit Dummydaten (00000, - und ähnlichem) abspeisen. Aber:

/images/2013/tc-trustcenter-2013-2.png

Das Notfallpasswort darf nur noch 15 Zeichen lang sein und nur noch aus den Zeichen A-Z, a-z, 0-9 sowie §%&*# bestehen. Kein Unterstich, kein Bindestrich (ich habe es ausprobiert). Eine sehr eigenartige Einschränkung. Solche Einschränkungen kenne ich, wenn die Datenbank das Passwort im Klartext speichert. Denn wenn es – entsprechend dem Stand der Technik – als Hash gespeichert wird, benötigt man diese Einschränkungen nicht.

/images/2013/tc-trustcenter-2013-3.png

Als Sahnehäubchen: Das Passwort wird auf der Bestätigungsseite dann auch schön im Klartext angezeigt. Naja, dann kann man es wenigstens schön ausdrucken, gell?!

Nachtrag: Das Thema hat sich quasi erledigt: TC Trustcenter wird ab 31. Oktober 2013 keine Zertifikat mehr ausstellen

Funktioniert Sprachausgabe inzwischen brauchbar?

Gestern habe ich mir überlegt, auch mal eine kleines Tutorial auf You-Tube zu stellen. Aber ohne meine Stimme ...

Gestern habe ich mir überlegt, auch mal eine kleines Tutorial auf You-Tube zu stellen. Aber ohne meine Stimme ...

... denn ich möchte ungern einem amerikanischen Großkonzern meine Stimmmuster geben.

Darum die Frage: Funktioniert bei Sprachausgabe denn die Umsetzung von Sätzen in Sprache einigermaßen gut?

Wer damit Erfahrung hat, möge mir bitte eine Mail schicken.

Meine Versuche mit Sprachausgabe (auf dem Amiga und damit zugegeben in den 1990ern) haben völlig unbrauchbare Ergebnisse geliefert:: Statt "Ami go home" ein kam nur ein Kaugummi-artiges "Ääämei go home". Dabei kam Commodore (der Herstelelr des Amiga) aus Pennsylvania, weit weg von Texas.

EU-Gesetz bedroht unser Trinkwasser

In diesem Blog vermeide ich Politik, aber dieses Thema treibt mich um. Wir haben die Verantwortung, eine Gesellschaft zu bauen, die auch für nachfolgende Generationen noch lebenswert ist.

In diesem Blog vermeide ich Politik, aber dieses Thema treibt mich um. Wir haben die Verantwortung, eine Gesellschaft zu bauen, die auch für nachfolgende Generationen noch lebenswert ist.

/images/2013/Water_DE.png

Im Augenblick gibt es, wenig beachtet von den Medien und damit für uns kaum wahrnehmbar eine äußerst bedrohliche Entwicklung:

Im europäischen Parlament wird derzeit ein Gesetz zur "Liberalisierung des Trinkwassermarktes" vorbereitet – schöner Titel für teuflisches Werk. Da EU-Recht über deutschem Recht steht, wird in Folge dieses Gesetzes sicher die deutsche Trinkwasserverordnung kassiert werden.

In Deutschland obliegt die Trinkwasserversorgung als hoheitliches Recht den Kommunen. Die Wasserversorgung darf nur kostendeckend arbeiten, die Versorgungsbetriebe dürfen keine Gewinne erwirtschaften! Im Augenblick haben wir dadurch eine hervorragende Trinkwasserqualität aus jedem Wasserhahn. Das wird nicht so bleiben, wenn wir uns nicht wehren.

Konzerne wie Nestlé oder Kraft werden sich mit ein paar anderen diesen Markt aufteilen. Solche Konzerne haben kein Interesse, dass weiterhin trinkbares Wasser aus dem Wasserhahn kommt. Sie werden ihre Gewinne maximieren und uns unser Trinkwasser verkaufen – in Fünf-Liter-Kanistern zu Preisen wie wir sie aus dem Urlaub in Spanien, Frankreich oder Italien kennen. Mit Leitungswasser kann man dann kaum mehr die Zähne putzen, als Lebensmittel, selbst zum Nudeln- oder Gemüse-Kochen ist es dann absolut ungeeignet.

Was "Liberalisierung von Infrastruktur" bedeutet, sehen wir ja momentan an den grauenvollen Entwicklungen im Energiemarkt.

Ich bitte euch daher: Werdet aktiv!

Schaut euch diese Initiative an und unterzeichnet, wenn ihr das Thema, wie ich, für wichtig erachtet.

www.right2water.eu/de

Schreibt an eure Abgeordneten im Europaparlament, im Bundestag, im Landtag. Deren Adressen findet Ihr unter www.abgeordnetenwatch.de. Macht eure Stadt- und Gemeinderäte aufmerksam. Nur wenn das Thema in die Medien kommt, besteht eine Chance, dass sich dieses Gesetz verhindern lässt.

Die EU hat den Friedensnobelpreis bekommen, ist mit diesem Thema aber dabei, den gesellschaftlichen Frieden zu destabilisieren.

Soweit darf es nicht kommen, finde ich.

PS 1: Danke an Ruth Stubenvoll für den Text, den ich schamlos kopiert habe.

PS 2: Die Datenschutzerklärung der Unterschriftenseite und das "Konformitätszertifikat", ausgestellt vom BSI, habe ich geprüft und für gut empfunden.

PDF-Kommentare unter Linux: nix is'

Im aktuellen Linux-User Magazin ist ein Artikel über PDF-Kommentare. Bei mir keimt Hoffnung auf ...

Im aktuellen Linux-User Magazin ist ein Artikel über PDF- Kommentare. Bei mir keimt Hoffnung auf ...

Mit Okular unter Linux bin ich bislang sehr zufrieden, wenn man damit nur auch PDF-Kommentare erstellen könnte.

Der Artikel im aktuellen Linux-User Magazin (ja, auch so was lese ich) vergleicht einige Programme. Mit leider magerem Ergebnis:

Bislang hatte ich die Hoffnung, das Okular noch lernt, PDF-Kommentare zu erstellen. Wenn ich die FAQ dazu lese, kann ich die Hoffnung wohl aufgeben. Als Anwender interessiert mich nicht, wo und wie Okular Kommentare speichert. Es interessiert mich auch nicht, dass ich damit andere Dateiformate kommentieren könnte. Ich will nur eines: PDFs kommentieren und mit Benutzern von anderen Plattformen austauschen. Und diese zentrale Anforderung unterstützt Okular nicht. Und die Begründung ist nicht: "Hat noch keiner implementiert", sondern: "Wir haben ein anderes Konzept." Das ist mal wieder ein typisches Beispiel dafür, das Entwickler sich nicht darum scheren, was ihre Anwender wollen. Schade, so wird das nie was mit Freier Software.

Dann wird noch Xournal vorgestellt, das ich bislang nicht kannte. Meine Linux-Distribution liefert Version 0.4.5. Leider gelingt es mir damit nicht auch nur einen Strich oder einen Textbox einzugeben. Ob diese Kommentare dann als PDF gespeichert werden würden, konnte ich damit erst gar nicht testen.

Die Suche geht also weiter ...

PS: Ja, CabaretStage kenne ich. Das ist aber sehr, sehr träge. Und die Entwickler verstehen noch nicht einmal, was der Fehler an diesem Aufruf ist:

java ... com.cabaret.claptz.stage.main.StandardStage $*

(Auflösung. Das letzte Argument muss "$@" sein, incl. der Quotes.)

Alternative zu Small Business Server in der c't

In der aktuellen c't (26/12, wohl noch bis 16. Dez. am Kiosk) ist ein interessanter Artikel. Und der dort erwähnte UCS (Univention Corporate Server) ist auf der DVD dabei -- incl. Agorum, SEP und Zarafa.

In der aktuellen c't (26/12, wohl noch bis 16. Dez. am Kiosk) ist ein interessanter Artikel. Und der dort erwähnte UCS (Univention Corporate Server) ist auf der DVD dabei — incl. Agorum, SEP und Zarafa.

"Small Business Server ... Preise steigen bei sinkendem Funktionsumfang drastisch. Wir liefern ... eine schlüsselfertige Alternative, die auf Linux aufbaut. Die zeigt zwei Dinge: Small Business Server geht auch ohne Microsoft und die Daten lassen sich unbeschadet aus dem goldenen Käfig in die Open-Source-Welt verschieben."

Ich kann Allen nur empfehlen, den UCS mal auszuprobieren oder zumindest die Artikel zu lesen! Der enthält auch ein Rechenbeispiel für die Kosten.

Zwei Dinge freuen mich besonders an dem Artikel:

  1. Just vor zwei Wochen hat mich ein Freund gefragt, was er "linuxartiges" seinen Kunden als Alternative zum Small Business Server anbieten kann. Er hält gar nichts davon, dass MS alles in die Cloud legen will. Seine Kunden wollen auch Arbeiten, wenn die Leitung mal weg ist. Ich habe ihm empfohlen, sich mal den UCS anzusehen.

  2. Der UCS steht schon lange auf der Liste der Lösungen, die ich meinen Kunden anbieten würde -- wäre ich nicht als Security-Experte unterwegs :-)

Nachtrag [2012-12-29] für die, die das Heft versäumt haben: Im Heise Kiosk gibt es die Artikel Small Business Server:UCS c’t Edition und Migration vom Microsoft SBS auf Linux zu kaufen.

2012-09: „Steht ein Manta-Fahrer vor der Uni ...“

Microsoft kündigt an, die Weiterentwicklung des Internet Security and Acceleration Server (ISA), der inzwischen Forefront Threat Management Gateway 2010 (TMG) heißt, einzustellen. Die Kunden bleiben im Regen stehen.

"Steht ein Manta-Fahrer vor der Uni" war ein Kommentar zu der Meldung, dass Microsoft in den Security-Markt einsteigt. Das war 2005 und dafür hat Microsoft zu seiner eigenen AV-Lösung eine ganze Reihe von Technologien und Firmen (u.a. GeCAD Software, Giant Company Software, Sybari) zugekauft.

Plötzlich hat der Manta scheinbar gemerkt, dass er auf dem falschen Parkplatz steht: Heimlich, still und leise hat Microsoft angekündigt, die Weiterentwicklung des Internet Security and Acceleration Server (ISA), der inzwischen Forefront Threat Management Gateway 2010 (TMG) heißt, einzustellen. Und gleich noch ein paar andere Mitglieder der Forefront-Familie mit. Übrig bleiben nur die Produkte, die Malware auf Exchange-Servern filtern sollen. Zwar gibt es noch Support bis 2015 bzw. den Extended Support bis 2020, aber weiterentwickelt wird nicht mehr.

Die Schweinerei bei der Angelegenheit: Eine ganze Menge Microsoft-Kunden, die sich für Microsoft Forefront entschieden haben, um ihre Firma abzusichern, stehen jetzt im Regen. Und es zeigt, dass man mitnichten immer auf der sicheren Seite ist, wenn man sich für die Lösung des Marktführers entscheidet – zumindest, wenn der sich mit einem Produkt so gänzlich raus aus seinem angestammten Produktsegment bewegt.

Dass es schief gehen kann, ist dabei nicht einmal eine Frage der Kompetenz oder Produktqualität: Viele Leute sind der Meinung, dass der ISA-Server in einer homogenen Microsoft-Umgebung einen sehr guten Job macht. Nein, es geht darum, dass der Marktführer irgendwann feststellt, dass er mit dem „Nischenprodukt“ im Vergleich zu anderen Produktsparten zu wenig Umsatz macht. Dann beschließt das Management, dass es „strategisch“ besser sei, die Weiterentwicklung bleiben zu lassen. Wo die Bestandskunden bleiben, die auf Microsoft vertraut haben, ist egal.

Ähnlich ging es übrigens den Kunden von Symantec. Der Hersteller kaufte anno 2000 die Firewall Raptor von Axent und vermarktete sie als "Symantec Enterprise Firewall". Nicht lange danach wurde auch sie wieder eingestellt. Auch hier war dieses Produkt nur ein Zubrot zum eigentlichen Kerngeschäft, der Consumer-Endpoint-Security. Und als die Umsatzrendite nicht passte, war es schnell wieder aus dem Portfolio verbannt. Wer in die Röhre guckte, waren die Kunden!

Wer also die Ablösung seiner ISA/TMG-Lösung plant, dem empfehle ich, sich bei der Entscheidung für die nächste Lösung genau anzuschauen, womit genau der nächste Lieferant sein Kerngeschäft macht und ob die Produkte, für die man sich interessiert auch wirklich in dessen Portfolio passen.

Kurzsichtiger Juristentag

Vom Deutschen Juristentag hatte ich bislang den Eindruck, er sei weitsichtig. Seit den neuen Beschlüssen gegen Anonymität im Internet und für Vorratsdatenspeicherung muss ich dies allerdings revidieren.

Vom Deutschen Juristentag hatte ich bislang den Eindruck, er sei weitsichtig. Seit den neuen Beschlüssen gegen Anonymität im Internet und für Vorratsdatenspeicherung muss ich dies allerdings revidieren.

Auf der Versammlung letzte Woche (18.-21. September 2012) hat der Juristentag tatsächlich beschlossen: »Ein „Recht auf anonyme Internet-Nutzung“ ist nicht anzuerkennen (Punkt 6.b, Seite 24) und "Telekommunikationsanbieter sollten [...] verpflichtet werden, bestimmte Verkehrsdaten zu sammeln und für mindestens sechs Monate zu speichern" (Punkt 4.d Seite 11).

Erschreckend!

Damit hat der Juristentag gezeigt, dass Technikfolgenabschätzung nicht zu seinen Stärken gehört. Beides, Vorratsdatenspeicherung und Nicht-Anonymität, gefährden auf Dauer die freie Meinungsäußerung und damit unsere Demokratie. Wenn nun die Juristen in das gleiche Horn stoßen, wie die Politker, und schreien: "Sicherheit statt Freiheit", dann können wir doch schon mal den Koffer suchen und überlegen, wohin man auswandern kann.

Wer's selbst nachlesen will:http://www.djt-net.de/beschluesse/beschluesse.pdf

Informationssicherheit im Zeitalter von Social Media

Auch 2012 wieder: (ISC)²-Podiumsdiskussion mit Hartmut Goebel auf der it-sa in Nürnberg

Auch 2012 wieder: (ISC)²-Podiumsdiskussion mit Hartmut Goebel auf der it-sa in Nürnberg

Auf der it-sa in Nürnberg findet auch dieses Jahr wieder die traditionelle (ISC)²-Podiumsdiskussion statt. Thema dieses Jahr:

"Die Kontrolle zurückgewinnen: Informationssicherheit im Zeitalter von Social Media"

Am Dienstag, 16. Oktober 2012 um 16:00 Uhr im "Auditorum".

Es diskutieren Isabell Münch (BSI), Hubertus Storck (NSN), Hartmut Goebel, Björn Voitel, Dr. Werner Degenhardt (LMU München) und Rainer Rehm (NSN). Moderation: Norbert Luckhardt, Chefredakteur der KES.

Aufgaben sortieren in Outlook

/images/2012/Aufgaben_Outlook.png

Outlook 2007 oder neuer

Verwende die "Erinnerungszeit" als Wiedervorlage

"Aufgaben" verwenden, nicht die "Vorgangsliste"

"Überfällige Aufgaben" definieren als:

Grupperieren nach

  1. Erinnerungszeit, aufsteigend, Feld anziegen

  2. Status

Filter: SQL mit diesem Text:

("http://schemas.microsoft.com/mapi/id/{00062003-0000-0000-C000-000000000046}/811c000b" = 0 AND
("http://schemas.microsoft.com/mapi/id/{00062008-0000-0000-C000-000000000046}/85020040" is NULL OR "http://schemas.microsoft.com/mapi/id/{00062008-0000-0000-C000-000000000046}/85020040" <= today())
AND
("http://schemas.microsoft.com/mapi/id/{00062003-0000-0000-C000-000000000046}/81040040" is NULL OR
"http://schemas.microsoft.com/mapi/id/{00062003-0000-0000-C000-000000000046}/81040040" <= today()))

Das bedeutet

  • Nicht erledigt (81c00b)

  • Erinnerung heute oder früher oder keine angegeben

  • Okay.

  • Das Feld Erinnerungszeit erscheint ganz rechts, an gewünschte Position schieben.

  • Fertig

Here's another tip. Finding articles about Outlook Filter programming is tricky, but if you search for one of the following using MSN Search or Google, you will find several articles to check:

  http://search.msn.com/results.aspx?q=81050040

  http://search.msn.com/results.aspx?q=811c000b

These numbers come from the XML schema for the Outlook SQL syntax. Sometimes using a very specific identifier in this way can deliver accurate hits.