Sicherheit – Seite 2 – Gebrauchtesoftware

Router-Attacke: Unternehmen können Office 365 nicht nutzen

Der zunächst als Attacke auf Telekom-Router bezeichnete Cyber-Angriff auf mehr als 900.000 Telekom-Router bundesweit galt nicht spezifisch der Telekom. Der Internetausfall bei Telekom-Kunden wurde nur dadurch verursacht, dass ein Teil der Router, die das Unternehmen an ihre Kunden liefert, nicht mit der Attacke umgehen konnte. Analysen von Sicherheitsexperten und eine ausführliche Erklärung der Telekom bemühen sich um Aufklärung. Denn es sei weniger eine offene Schnittstelle (Fernverwaltungsport) verantwortlich, sondern vielmehr der Umgang einiger „Speedport“-Router mit dem großflächigen Angriff. Einige der Router konnten den Angriff nicht verarbeiten, wurden deshalb quasi mit Daten „überflutet“, was beispielsweise den DNS-Proxy im Router ausfallen lies. Für die Geräte Speedport W 921 V, W 723 B und W 921 Fiber gibt es bereits Firmware-Updates. Unabhängig der Ursache hatte der Angriff für Hunderttausende dramatische Konsequenzen: Die Internetverbindung konnte nicht hergestellt werden.

Office 365 konnte von vielen Unternehmen nicht genutzt werden

Auch viele Unternehmen waren vom Cyber-Angriff betroffen. Dramatisch: Aufgrund der fehlenden Internetverbindung konnten einige Unternehmen nicht effektiv mit Microsoft Office arbeiten. Denn die Bürosoftware verweigert in manchen Editionen den Dienst, wenn keine aktive Internetverbindung besteht. Wir haben recherchiert und festgestellt, dass insbesondere Geschäftskunden mit einem Abonnement von Microsoft Office 365 Business Premium betroffen zu sein scheinen. Bei Consumer-Abonnements konnten keine Ausfälle ermittelt werden.

Internet weg, Office weg

Während die Internetverbindung nicht verfügbar ist, zeigt Office 365 Business Premium mittels einer Leiste am oberen Bildschirmrand an, dass die Lizenzinformationen nicht abgerufen werden können. Das führt dazu, dass die Lizenz nicht authentifiziert werden kann, Office ist dann nur eingeschränkt nutzbar. Dokumente können zwar gelesen werden, andere Funktionen – etwa die Bearbeitung – sind nicht möglich. Insbesondere für Geschäftskunden ist das mitunter mit schlimmen Konsequenzen verbunden. Denn basiert das ganze Unternehmen auf Office-365-Lösungen, die während eines Internetausfalls nicht genutzt werden können, steht die Arbeit in den entsprechenden Unternehmensbereichen still. Ohne Internet kann nicht einmal Alternativsoftware heruntergeladen werden, die ohne Internet funktionieren würde.

Kaufen statt mieten: Office auch ohne Internetverbindung nutzen

Beim Einsatz von Kaufsoftware kann es Usern egal sein, ob eine aktive Internetverbindung besteht. Denn Office-Kaufversionen funktionieren auch ohne Internetverbindung, diese wird nur einmalig bei der Aktivierung benötigt (sollte man sich nicht für die telefonische Aktivierung entscheiden). Gebrauchtsoftware hat neben Wirtschaftlichkeit und Rechtssicherheit den Vorteil, dass es sich hier nicht um Miet-, sondern um Kaufversionen der Software handelt. Im Vergleich zu Mietmodellen ist das Kaufen von Gebrauchtsoftware mittel- und langfristig IMMER günstiger. Zusätzlich profitieren User von der Möglichkeit, die Software nach Belieben und dauerhaft zu verwenden – egal ob mit oder ohne Internetanschluss. Kaufsoftware bietet daher auch ein Stück Unabhängigkeit für Unternehmen. Denn in der heutigen Zeit häufen sich Cyber-Attacken unterschiedlicher Art, die zum Internet-Ausfall führen können. Das allein ist nicht ungewöhnlich, aber die Häufigkeit der Angriffe und die immer größer werdende Internet-Abhängigkeit von Anwendungen sind kritisch zu betrachten. Deshalb scheint es insgesamt unverständlich, dass viele Unternehmen bestimmte Cloud-Lösungen nutzen, obwohl diese weniger wirtschaftlich und sicherheitstechnisch anfälliger sind. Ein Rechenbeispiel zeigt die Aachener 2ndsoft GmbH in einem aktuellen Blogbeitrag: Hier werden Office 365 Business Premium und die Kaufversion von Office 2010 Professional bei einem Nutzungszeitraum über fünf Jahre miteinander verglichen. Obwohl die Kernfunktionen identisch sind, sparen User von Office 2010 Professional über 50% – und für jedes Jahr nach dem errechneten Nutzungszeit steigt das Sparpotential weiter, da die Software ja bereits bezahlt ist. Clevere Unternehmen setzen deshalb auf Gebrauchtsoftware!

Microsoft-Konto gesperrt: Angeblicher Spam-Mail-Versand macht Telefonnummer-Eingabe erforderlich

Viele Microsoft-Anwendungen müssen mit einem Microsoft-Konto verknüpft werden, um verwendet werden zu können. Nach Eingabe des Produktschlüssels und der Verknüpfung mit dem Konto kann die Software heruntergeladen werden. Zwar können Kontoinformationen – darunter Name und E-Mail-Adresse – im Nachhinein geändert werden, ein späteres Entfernen der Software aus dem Account oder eine Übertragung auf ein anderes Konto ist nicht möglich.

Telefonnummer als Kontoschutz – 7 Tage Schonfrist

Bild: Erste Warnung, dass der Account in Kürze gesperrt werden wird.

Zunächst erhält der User die Aufforderung, eine Telefonnummer anzugeben (siehe Bild 1). Diese kann per Anruf oder Textnachricht authentifiziert werden. Diese Meldung lässt sich überspringen, nach spätestens sieben Tagen allerdings muss die Telefonnummer angegeben werden.

Microsoft Office: Ihr Konto wurde vorübergehend gesperrt

Bild 1: Der Microsoft-Account wurde vorübergehend gesperrt – warum genau, ist nicht erkennbar.

Nach der erfolgreichen Verknüpfung von Microsoft Office mit einem neu erstellten Microsoft-Konto wurde eine temporäre Konto-Sperre durchgeführt, falls die Telefonnummer innerhalb der 7-Tage-Frist nicht authentifiziert wurde. Die Meldung „Jemand hat möglicherweise über Ihr Konto [E-Mail-Adresse] eine große Anzahl von Junk-E-Mails gesendet oder eine andere Aktion ausgeführt, die gegen den Microsoft-Servicevertrag verstößt“ lässt aufhorchen (siehe Bild 1). Anzumerken ist, dass Microsoft-Konto und E-Mail-Konto frisch erstellt worden sind. Ein Fremdzugriff ist auszuschließen, vom E-Mail-Account wurden keinerlei E-Mails verschickt. Was mit „anderen Aktionen“ gemeint ist, ist nicht bekannt. In jedem Fall bleibt der Account gesperrt, bis eine gültige Telefonnummer eingegeben wird. An diese wird ein Prüfcode verschickt, nach dessen Eingabe ist das Konto wieder nutzbar.

Telefonnummer als Spamschutz – für welchen Spam?

Bild 2: Microsoft fordert den Account-Besitzer zur Eingabe der Telefonnummer auf.

Der an die eingegebene Telefonnummer geschickte Prüfcode ist zehn Minuten gültig. Microsoft betont (siehe Bild 2), dass die Telefonnummer nicht weitergegeben werde und dem Spamschutz diene. Hier stellt sich die Frage, von welchem Spam die Rede ist. Denn vom E-Mail-Account wurden keine Nachrichten verschickt. Da die „anderen Aktionen“ nicht näher benannt werden, kann über andere Gründe nur spekuliert werden. Mögliche Gründe wären ein zufälliger Algorithmus oder die Tatsache, dass es sich um einen neuen E-Mail-Account handelt. Trotzdem bleibt ein fader Beigeschmack, es entsteht der Eindruck, als wolle Microsoft – hier offenbar rein willkürlich – Daten sammeln und gleichzeitig authentifizieren.

Telefonnummer her, sonst gibt’s keinen Account-Zugriff!

Bild 3: Alles wieder in Ordnung – nach Eingabe des Prüfcodes ist der Account freigeschaltet.

Es scheint ungewöhnlich, dass für die Nutzung von Microsoft-Anwendungen eine Telefonnummer angegeben werden muss. Es bleibt also dabei: Telefonnummer an Microsoft senden oder Software nicht verwenden. Die Tatsache, dass sowohl Microsoft-Konto als auch E-Mail-Konto neu erstellt worden waren, lässt die Befürchtung aufkommen, dass theoretisch jeder Nutzer zur Eingabe der Telefonnummer verpflichtet werden könnte. Datenschutztechnisch ist dieser Umstand kritisch zu betrachten. Immerhin: Der Account-Zugriff ist sofort wieder möglich, nachdem der Prüfcode eingegeben wurde (Bild 3).

Ähnliches Muster bei Skype

Nicht nur bei Anwendungen im Microsoft-Konto wird die Telefonnummer angefragt. Einige LeserInnen haben uns berichtet, dass auch beim Skype-Messenger ein Prüfcode erforderlich sei. Dieser werde trotz neuer E-Mail-Adresse und neuem Skype-Account angefragt. Auch hier arbeitet die Anwendung erst nach Prüfcode-Eingabe, vorher wird kein Zugriff gewährt.

Update vom 9. Oktober 2020: Wir berichten erneut über Microsofts Idealvorstellung, jeder User möge doch bitte seine Telefonnummer eingeben, alle Informationen im Blogbeitrag „Werden neue Microsoft-Accounts gesperrt, wenn keine Telefonnummer eingegeben wird?“.

Cloud-Speicher-Dienst Dropbox: 68 Mio. Datensätze im Jahr 2012 erbeutet

Bild: Dropbox-Logo

Wie erst jetzt bekannt wurde, konnten Hacker vor gut vier Jahren 68 Millionen Datensätze von NutzerInnen des Cloud-Speicher-Dienstes Dropbox erbeuten. Die Angreifer erhielten dabei Zugriff auf Nutzernamen und Passwörter. Zwar sind die Passwörter verschlüsselt, etwa die Hälfte allerdings per SHA1-Hash mit Salt – diese Verschlüsselungsmethode ist mittlerweile als Sicherheitsrisiko eingestuft, da es möglich ist, diese zu entschlüsseln. Die mit bcrypt verschlüsselten Datensätze gelten als sicher.

Dropbox-Mitarbeiter handelte fahrlässig

Möglich wurde der Angriff durch die Fahrlässigkeit eines Dropbox-Mitarbeiters, der ein identisches Passwort beim sozialen Netzwerk LinkedIn und am Arbeitsplatz nutzte. Die Hacker kopierten die fünf Gigabyte großen Datensätze, nachdem sie Zugriff auf den Mitarbeiter-Account erhielten.

In der vergangenen Woche informierte Dropbox seine NutzerInnen und forderte dazu auf, das Passwort zu ändern. Sollte fahrlässig auch bei anderen Diensten das gleiche oder ein ähnliches Passwort genutzt werden, sollte dies dort auch geändert werden. Bisher hatte Dropbox lediglich von einem Datenleck gesprochen, das ganze Ausmaß ist erst jetzt öffentlich gemacht worden. Sicherheitsexperte Troy Hunt betreibt die Seite „Have I been pwned“, wo in die Suchmaske eingegebene E-Mail-Adressen mit Listen bekannter Hacks abgeglichen werden. So sollen NutzerInnen erkennen können, welche Datensätze mit Sicherheit entwendet wurden. Allerdings bedeutet es nicht zwangsläufig, dass ein Account sicher ist, falls kein Treffer angezeigt wird. Grundlegende Regeln zum Erstellen sicherer Passwörter sollten ebenso beachtet werden wie ein regelmäßiges Ändern selbiger.

Sicherheitsrisiko Cloud-Software

Cloud-Dienste sind in aller Munde – insbesondere in den Marketing-Abteilungen vieler Konzerne. Das bedeutet aber auch, dass diese Dienste zunehmend von Kriminellen angegriffen werden, da die stärkere Verbreitung ein lohnenswerteres Ziel schafft. Immer wieder liest man in der Vergangenheit von Angriffen auf Cloud-Dienste, in jüngster Zeit neben Dropbox beispielsweise auch LinkedIn, Opera oder Apple. NutzerInnen sollten abwägen, in welcher Relation Nutzen und Risiko stehen. Sicherlich mag das Arbeiten in der Cloud Vorteile mitbringen, allerdings ist es auch eine Vertrauenssache. Sind die Daten auf fremden Servern abgelegt und nicht lokal gespeichert, können Dritte – sofern Sicherheitsmechaniken umgangen und Verschlüsselungen geknackt werden – potenziell Zugriff auf diese Datensätze erhalten, ohne dass User dies sofort bemerken. Lokal gespeicherte Daten hingegen können besser geschützt und überwacht werden. Sensible Daten sind deshalb nur sehr bedingt für die Speicherung in der Cloud geeignet. Für viele NutzerInnen kann die Kaufversion einer Software wesentlich besser geeignet sein als eine Miet- und/oder Cloud-Version mit monatlichen Folgekosten, externer Sicherung von Daten, automatischen Updates und einer erhöhten Chance auf Probleme in der Live-Version.

Microsoft: Dynamische Blacklist gegen schlechte Passwörter

Microsoft will mit dem Verbot einfacher Passphrasen die Sicherheit seiner Dienste erhöhen. Damit reagiert der US-Konzern auf mehrere Datenbank-Leaks in der jüngeren Vergangenheit, bei denen Hacker Listen von Datenbanken ins Netz stellten, die über einfachste Passwörter verfügten.

Azure Actice Directory und andere Dienste werden umgestellt

Von der Umstellung werden das Azure Active Directory und andere Microsoft-Dienste betroffen sein. Nach der Umstellung sollen einfachste Passwörter für diese Dienste nicht mehr zugelassen werden. Eine dynamische Blacklist wird dann verhindern, dass NutzerInnen beispielweise Passphrasen wie „12345“ oder Vergleichbares nutzen. Auch andere Passwörter, die bei Angriffen auf Microsoft-Dienste häufig ausprobiert werden, sind in Zukunft nicht mehr erlaubt. Als Auslöser für die Aktion gilt ein Leak mit rund 178 Millionen Passwort-Hashes von LinkedIn – nur Stunden nach der Veröffentlichung dieser Liste sollen rund 80 Prozent dieser Accounts gehackt worden sein.

Kunden werden von Microsoft informiert werden – Vorsicht vor Phishing

NutzerInnen bestimmter Microsoft-Dienste werden in Kürze von Microsoft darauf hingewiesen, ihr Passwort zu ändern, falls sich die Passwörter auf der Blacklist befinden sollten. Robyn Hicock, Mitglied des Microsoft Identity Protection Team, hat eine Übersicht erstellt, die Tipps zur Wahl eines sicheren Passwortes geben soll. Das Whitepaper finden Sie als PDF-Dokument hier.

Update-Bug bei Windows 10: Manche Anwender müssen Microsoft-Programme nutzen

Ein Fehler bei Windows 10 sorgt derzeit dafür, dass bei manchen Anwendern die Dateityp-Voreinstellungen des Betriebssystems zurückgesetzt werden. Das bedeutet im Praxiseinsatz, dass statt des zuvor gewählten Standard-Programms für einen bestimmten Dateityp wieder die standardmäßige Microsoft-Anwendung zum Öffnen der Datei verwendet wird. Beispiele: Links werden beispielsweise ausschließlich mit Edge und nicht mit einem selbstdefinierten Webbrowser geöffnet, der Windows Media Player übernimmt wieder das Öffnen von Video-Dateien – statt des selbst ausgewählten Programms. Alle individuell vorgenommenen Dateityp-Verbindungen, also die Zuweisung zwischen einer bestimmten Dateiendung und einer Software, gehen verloren.

Kumulatives Update Windows 10 Version 1511 (KB3135173) verursacht das Problem

Ausgelöst wird das Problem durch das kumulative Update KB3135173. An sich sollte das Problem zwar ärgerlich sein, aber mit dem erneuten Ändern der Dateityp-Einstellungen sollte es eigentlich gelöst sein. Einfach die bevorzugten Programme den entsprechenden Dateitypen zuordnen und fertig. Allerdings ist das in der Praxis derzeit nicht möglich. Der Bug ist nachhaltig, die selbstdefinierten Programmentscheidungen werden immer wieder zurückgesetzt.

Microsoft arbeitet an einer Lösung – Informationspolitik steht in der Kritik

Microsoft hat das Problem bei Windows 10 bestätigt und arbeitet derzeit an einer Lösung. Bis dahin bleibt nur, das Update zu ignorieren und vorerst nicht zu installieren. Außerdem kann das Zurücksetzen auf einen früheren Systemzustand helfen. Dabei sind die üblichen Risiken zu berücksichtigen, ein Backup wichtiger Daten ist also Pflicht. Auch bei diesem Fehler steht die Informationspolitik des Redmonder Konzerns neuerlich in der Kritik: Eigentlich sollte es sich beim Update KB3135173 um ein reines Sicherheitsupdate handeln – ohne jeglichen Bezug zu Dateisystemverknüpfungen. Immer wieder implementiert Microsoft Bugfixes in kumulative Updates, ohne diese explizit auszuweisen.

Windows 10: Einblick in die Datenspeicherung wirft Fragen auf

Datenschutzoptionen unter Windows 10 | Bild: Screenshot 2ndsoft.de — Datenschutzoptionen unter Windows 10 | Bild: Screenshot gebrauchtesoftware.de

Zunächst waren die User und Kritiker von Windows 10 durchaus angetan vom Windows-8.1-Nachfolger. Nach dem Bekanntwerden des nicht-optionalen Datensammel-Prozederes änderte sich das Gesamtbild über das aktuelle Microsoft-OS aber schnell. Bislang ist nicht genau bekannt, welche Daten erfasst und an die Server des Redmonder Unternehmens gesendet werden und was mit ihnen genau passiert. Eine Veröffentlichung von Statistiken seitens Microsoft wirft Fragen auf.

200 Millionen Computer weltweit laufen unter Windows 10

Kürzlich hat Microsoft nicht ganz ohne Stolz veröffentlicht, dass Windows 10 auf mittlerweile 200 Millionen Computern weltweit laufe. Doch nicht nur die Userzahl wurde präsentiert: Um den Erfolg von Windows 10 mit Fakten zu untermauern, verriet Microsoft weitere Zahlen. So sollen die Windows-10-User bisher fast elf Milliarden Stunden in Windows 10 verbracht werden, davon alleine 44,5 Milliarden Stunden im Webbrowser Edge. 82 Milliarden Fotos sollen bisher mit dem in Windows 10 enthaltenen Foto-Programm betrachtet worden seien. Eine Aufzählung weiterer Zahlen rundet die Statistiken ab und soll vor allem hervorheben, wie erfolgreich das neue Betriebssystem Microsofts ist. Doch man muss sich dabei fragen: Woher stammen diese Statistiken?

Woher hat Microsoft die veröffentlichten Zahlen?

Es ist unklar, woher Microsoft die Daten hat. Möglich wäre eine sehr detaillierte Umfrage unter den Microsoft-Kunden und eine im Anschluss durchgeführte Hochrechnung. Microsoft selbst betont stets, dass alle erfassten Daten ausschließlich der Verbesserung von Stabilität und Sicherheit bei Windows 10 dienen. Das Versenden von Daten zu Sicherheit und Stabilität ist nicht optional, sprich, User können nicht frei entscheiden, ob Daten erfasst und verschickt werden oder nicht. Es ist auch unklar, ob erfasste Daten mit einem spezifischen Benutzerkonto oder persönlichen Daten kombiniert werden können oder nicht. Das spielt aber auch keine große Rolle, denn für viele User ist es schon erschreckend genug, dass Microsoft die Nutzungsgewohnheiten seiner Kundschaft so gut zu kennen scheint.

Windows 7 und Windows 8.1: Vier Windows-Updates führen zu Datensammelei

Grundsätzlich bieten Windows 7 und Windows 8.1 mehr Entscheidungsfreiheit für User, wenn es um den Versand von Daten an Microsoft gilt. Laut winaero.com allerdings hat Microsoft vier Patches veröffentlicht, die unter Windows Update für die Windows-10-Vorgänger erhältlich sind. Diese erlauben das Auslesen und Versenden von Nutzerdaten (Messwerte, gespeicherte Dateien, Systeminformationen und installierte Software). Die Datenerfassung und -übermittlung erlaube laut Microsoft keine Identifizierung von Usern. Wer das nicht möchte, sollte die Installation der Updates mit der Bezeichnung KB3068708, KB3022345, KB3075249 und KB3080149 unterbinden. Unter „Installierte Updates“ in Windows Update kann geprüft werden, ob genannte Updates bereits auf dem System installiert sind – diese können dann auf Wunsch wieder deinstalliert werden.

Optimierung erwünscht – dann aber bitte transparent und anonym

Die Welt ist immer stärker vernetzt. Kaum eine Anwendung verzichtet auf eine Datenerfassung. Mit Sicherheit haben viele User nichts dagegen, wenn Daten erfasst werden, um Software stabiler, effizienter und personalisierter zu machen. Aber dann doch bitte transparent, anonym und optional. Im Falle von Windows 10 bleibt den Usern aber nichts anderes, als den Aussagen Microsofts Glauben zu schenken oder Alternativen zu verwenden.