Heute hat mir jemand eine Mail geschickt, nachdem er mich über die Google-Suche nach "IT-Security Experte" an erster Stelle gefunden hat (siehe Screenshot). Wow, das haut mich um und muss es gleich los werden :-) Dabei mache ich noch nicht einmal SEO. (Mein Trick ist allerdings, in vielen Mailinglisten zu schreiben und in der Signatur auf meine Blogposts zu verlinken.)

Eine Plattform, um Petitionen zu erstellen, ist was Tolles – sollte man meinen. Irgendwie verbinde ich damit "Bürgerrechte", und damit auch Informationelles Selbstbestimmungsrecht, keine Datensammlung, etc.

Bei change.org war mir schon aufgestoßen, da die google-analytics verwenden. Sie liefern ihre Besucher als der Profil-Sammel-Krake Google aus – obwohl es mit piwik eine gute Alternative gibt.

Nun hat sich Michael Ebeling mal die Datenschutzbedingungen angeschaut: http://www.devianzen.de/2013/08/30/warum-ich-change-org-nicht-mag/. Mein Resümee daraus: Finger weg, Datensammler!

Jeden Tag ein neues Zitat rund um den NSA-Skandal

URL: http://nsa-advent.de/

Ja, Passwort-Richtlinien solle dafür sorgen, dass die Passwörter sicher sind. Und ja, es ist gut, wenn ein Unternehmen nur "sichere" Passwörter zulässt.

Ein Beispiel, wie man es nicht machen soll, liefert dagegen die Deutsche Post mit ihrer Marke DHL und der Packstation. Wer sich unter paket.de anmelden will, wird mit folgender Passwort-Richtlinie drangsaliert (siehe Bild):

• Mindestens 8 Zeichen

• Maximal 13 Zeichen

• Gültige Zeichen (Buchstaben, Zahlen, !§&/()=?*+-_)

• Mindestens einen Groß und Kleinbuchstaben

• Mindestens eine Zahl (nicht am Anfang)

Das klingt erst einmal gut, treibt aber diejenigen in den Wahnsinn, die einen Passwort-Manager verwenden und sich damit Passwörter erzeugen lassen:

• Weshalb maximal 13 Zeichen? Längere Passwörter sind bekanntermaßen sicherer. Und wenn das Passwort als Hash gespeichert wird – wie es Stand der Technik ist –, dann ist die Eingabelänge ziemlich egal. Bei mir entsteht so der Eindruck, dass das Passwort womöglich nicht als Hash gespeichert wird, sondern nur verschleiert oder gar im Klartext. das wäre peinlich!

• Weshalb sind so wenige Sonderzeichen zulässig? Wenn nur Umlaute verboten währen, könnten ich das noch einigermaßen verstehen (aber auch nicht wirklich), denn damit könnte es Encoding-Probleme geben. Aber dass noch nicht einmal der Zeichenvorrat von ASCII erlaubt ist, ist eine unnötige Einschränkung. Hier habe ich den Eindruck, dass die Entwickler ihrer Software nicht trauen.

• Weshalb darf die Zahl nicht an Anfang stehen? Das verhindert zwar simple Passwörter wie "7Zwerge", aber nicht das ebenso simple "Zwerge7". Meine Einschätzung dazu: ziemlich unsinnig.

Fazit: Sicherheitsvorgaben sind sinnvoll, keine Frage. Allerdings dürfen sie den Benutzern nicht über Gebühr im Wege stehen. Wenn man sich – wie bei dieser DHL-Seite – wegen der schrägen Passwortvorgaben zig-mal ein neues Passwort überlegen muss, bis es endlich akzeptiert wird, verlieren Viele die Lust und wählen dann halt eine simplere und unsicherere Variante. "Zwerge7x" wäre eine.

P.S.: keepass kommt bei dieser Passwort-Regel auf gerade mal 81 Bit Entropie.

nanoxml is a well know and widespread XML parser. Eleven years after the last release I fixed a severe parsing error.

URL: https://sourceforge.net/p/nanoxml/bugs/24/

Erzeugt Begründungen, egal für welche Überwachungsmasche

URL: https://www.eff.org/deeplinks/2013/11/universal-surveillance-justifcation

Thunderbird unter Linux:

1. Über die Paketverwaltung der Distribution das Paket "thunderbird-enigmail" installieren (der Name ist evtl. ein anderer, wichtig ist "enigmail"). Die benötigte Software (insb. gnupg) wird automatisch mit installiert.

2. Thunderbird starten und nach dieser Anleitung ein Schlüsselpaar erzeugen, innerhalb Thunderbird.. Wer GUI-Tools außerhalb Thunderbird nutzen will: Ich kenne kgpg und kleopatra.

3. Schlüssel auf einem Key-Server veröffentlichen: Per Rechtsklick auf den Schlüssel und dann "Auf Schlüsselserver hochladen ..."

4. Weiter Tipps unter http://www.thunderbird-mail.de/wiki/Enigmail_OpenPGP

1. http://www.gpg4win.org/ manuell installieren. Wer eine schlanke Installation möchte: es wird nur die Hauptkomponente benötigt.

2. Enigmail in Thunderbird über den Add-ons-Manager installieren.

3. Nach dieser Anleitung ein Schlüsselpaar erzeugen, innerhalb Thunderbird.

4. Schlüssel auf einem Key-Server veröffentlichen: Per Rechtsklick auf den Schlüssel und dann "Auf Schlüsselserver hochladen ..."

5. Weiter Tipps unter https://www.enigmail.net/documentation/quickstart-ch1.php#id2532629 und http://www.thunderbird-mail.de/wiki/Enigmail_OpenPGP

1. http://www.gpg4win.org/ manuell installieren. Das Outlook-Plugin GpgOL muss mit installiert werden.

2. Nach dieser Anleitung ein Schlüsselpaar erzeugen, mit dem Tool "Kleopatra".

3. Schlüssel auf einem Key-Server veröffentlichen: http://gpg4win.de/handbuecher/einsteiger_9.html

4. "Das mitgelieferte Outlook-Plugin GpgOL ermöglicht E-Mails direkt in Microsoft Outlook zu signieren und zu verschlüsseln." Wie genau möge bitte jemand anderes ergänzen.

Wem diese Stichpunkte nicht genügen, dem hilft vielleicht http://digitalcourage.de/support/digitale-selbstverteidigung weiter.

CDU/CSU und SPD verhandeln über eine Große Koalition. Da musste ich als Unternehmer Stellung beziehen – vor Ort, mit den Freunden von digitalcourage.

URL: http://digitalcourage.de/blog/grosse-koalition-hat-aus-daten-fukushima-nichts-gelernt

Den Slogan hatte ich mir schon ausgedacht: "Deutscher Buchhandel missachtet Urheberrecht".

Nun brauche ich den doch nicht, denn der Source wurde inzwischen veröffentlicht – allerdings gut versteckt unter "Technische Daten".

Weitere Hintergründe im 5-Minuten-Info...