Nachrichten

SSL-Warnmeldungen im Browser werden häufig ignoriert

Jan Ulrich Hasecke — 2009-07-29T14:57:58Z

Heise berichtet über eine Studie in den USA, die am 14. August 2009 auf dem Usenix Security Symposium in Montreal veröffentlicht werden soll.

Das Phänomen, dass Warnmeldungen einfach weggeklickt werden, ist bekannt. In der Studie wird dies erstmals mit Zahlen dokumentiert. Die meisten Nutzer wissen mit den Warnmeldungen nichts anzufangen.

Die Forscher halten deshalb unverständliche Warnmeldungen für eine Ursache des Problems. Die Benutzer von Firefox haben die Warnungen am wenigsten ignoriert, weil der Browser verständlichere Dialoge aufweise. Die Forscher haben auch mit eigenen Wanrmeldungen experimentiert.

Wer mehr über die Bedeutung von Zertifikaten erfahren möchte, sollte sich die Unterlagen des letzten Vortragsabends der FLOSS-Initiative durchlesen.

Sicherheit im Internet: ein Thema für mehrere Abende

Jan Ulrich Hasecke — 2009-06-19T07:05:00Z

Da sich die meisten Zuhörer als ›Sicherheits-Laien‹ bezeichneten, versuchte Jörg Zimmermann das komplexe Thema so anschaulich wie möglich zu erklären. Dass ihm dies gelang, bewies die Ausdauer der Teilnehmer, die auch nach drei Stunden noch aufmerksam zuhörten und interessiert nachfragten. Dass es ein langer Abend geworden ist, lag vor allem am Thema. Der Bogen, den Jörg Zimmermann schlagen musste, war sehr groß. Ein Thema Sicherheit denken die meisten nur an Computerviren, doch diese Schadprogramme sind nur eine ganz kleine Facette des Problems.

Mit einem Rückblick auf die Entstehung des Internets machte Zimmermann deutlich, dass die Schöpfer des Internets vor allem daran interessiert waren, dass das Internet funktioniert, dass eine Nachricht von A nach B gelangt, auch wenn einige Rechner oder Leitungen ausfallen. Es ist ein offenes Netz, in dem sich Nachrichten, die verschickt werden, wortwörtlich selbstständig den Weg zum Adressaten suchen. Dabei durchlaufen sie zahlreiche Zwischenstationen und niemand kann vorher genau sagen, welchen Weg eine Nachricht nehmen wird. Die Zwischenstationen sind nun aber keine nach außen abgeschotteten Systeme, sondern ganz normale Internet-Server und Internet-Router. Und jeder, der Zugriff auf eine dieser Zwischenstationen hat, kann mitlesen, was über die Leitung geht. Wer unverschlüsselte E-Mails versendet oder sich ohne Verschlüsselung im Internet bewegt, versende daher, so Zimmermann, im Grunde Postkarten, die jeder ›Briefträger‹ auf dem Weg zum Empfänger mitlesen könne.

Nach dieser Einführung erklärte Zimmermann die symmetrische Verschlüsselung, bei der Sender und Empfänger denselben Schlüssel zu verschlüsseln und entschlüsseln benutzen. Bei diesem Verfahren stellt sich jedoch das Problem, den Schlüssel vorher über einen sicheren Kanal (zum Beispiel ein persönliches Treffen) auszutauschen. Im Internet, wo es zunächst einmal keinen sicheren Kanal gibt, kommt daher zumeist die asymmetrische Verschlüsselung zur Anwendung, bei der zwei Schlüssel benutzt werden: ein Schlüssel zum Verschlüsseln und einer zum Entschlüsseln.

Verschlüsselung ist jedoch nur ein Aspekt der sicheren Kommunikation. Man möchte außerdem sicherstellen, dass derjenige, der eine E-Mail versendet, eine Website betreibt oder ein Programm zum Download anbietet, auch wirklich die Person ist, für die er sich ausgibt. Dies erfolgt durch digitale Signaturen, die von einer Zertifizierungsstelle beglaubigt worden sind. Jan Ulrich Hasecke stellte im Anschluss an Zimmermanns Vortrag die Zertifizierungs-Community CAcert vor, die diesen Service kostenlos anbietet.

Ein dritter und letzter Aspekt des Themas ist der Wunsch sicherzustellen, dass zum Beispiel eine E-Mail auf dem Weg vom Sender zum Empfänger nicht verändert worden ist. Auch dies leisten Zertifikate oder Verschlüsselungstechniken wie PGP, die für die signierten oder verschlüsselten Inhalte eine Prüfsumme erstellen, mit deren Hilfe man kontrollieren kann, ob die Nachricht während des Versands manipuliert worden ist.

Zimmermann machte deutlich, dass es beim Thema Sicherheit ganz besonders wichtig ist, zu wissen, was ein Programm wirklich tut. Ob es zum Beispiel im Hintergrund Nachrichten an den Hersteller schickt oder ob es überhaupt fehlerfrei funktioniert. Es selbst vertraut daher nur Programme, in die er und viele andere Sicherheitsexperten auf der ganzen Welt hineinschauen können. Open-Source-Software sei daher in sicherheitsrelevanten Bereichen die erste Wahl.

Wegen des großen Interesses auch an ganz praktischen Lösungen und Anleitungen versucht die FLOSS-Initiative einen zweiten Vortragsabend zu organisieren, bei dem die Installation und Nutzung von Verschlüsselungsprogrammen wie PGP oder TrueCrypt (zur Datenverschlüsselung auf der Festplatte) im Einzelnen vorgestellt werden sollen. Der Termin wird rechtzeitig bekannt gegeben.

In den Verweisen unten finden Sie die Vortragsskripte des Abends.

World Plone Day 2008

Jan Ulrich Hasecke — 2008-11-24T10:16:28Z

In über 30 Ländern auf allen fünf Kontinenten wurden Informationsveranstaltungen organisiert. In der brasilianischen Hauptstadt Brasilia fand mit 128 Teilnehmern die größte Veranstaltung statt. In Deutschland gab es World Plone Days in Berlin, Hamburg, Köln, Leipzig und München. Deutschsprachige Präsentationen, die während des World Plone Days gehalten wurde, kann man auf slideshare.net finden; Fotos von diesem Ereignis gibt es auf flickr.

Erster Vortragsabend im Gründer- und Technologiezentrum

Jan Ulrich Hasecke — 2008-10-15T10:40:00Z

Der größte Internetkonzern der Welt, der Suchmaschinengigant Google, verdankt seinen Erfolg der geschickten Nutzung von freier Software. Die Wertschöpfung durch Open-Source-Software nimmt überproportional zu. »Die Zukunft gehört der freien Software«, sagt Jan Ulrich Hasecke, einer der Initiatoren der FLOSS-Initiative Solingen, »deshalb möchten wir den privaten und kommerziellen Anbietern in unserer Region ein Forum anbieten, wo sie sich über Open-Source-Software informieren können.«

Das Kürzel FLOSS im Namen der Initiative steht für Free/Libre Open Source Software. Der erste Vortragsabend der FLOSS-Initiative findet am 16. Oktober im Gründer- und Technologiezentrum statt, das zu den Unterstützern der FLOSS-Initiative gehört. Michael Wallusch von der Ticope GmbH & Co. KG wird an diesem Abend das freie Content-Management-System Plone vorstellen, mit dem Vereine, kleine und mittelständische Unternehmen, aber auch große internationale Konzerne ihre Websites pflegen. Im Anschluss daran stellt Jan Ulrich Hasecke, Fachautor und Mitglied der Plone-Foundation, die Entwickler- und Anwender-Community vor, die Plone innerhalb weniger Jahre zu einem der erfolgreichsten Content-Management-Systeme gemacht hat. »Software-Communities sind Selbsthilfe-Gruppen par excellence. Sie schaffen eigene Werkzeuge zur Bewältigung ihrer Aufgaben und geben Anwender- und Entwickler-Know-how weiter. Man kann sie daher auch als Wissensgemeinschaften beschrieben, die Wissen ansammeln und vermitteln«, so Hasecke weiter.

Die Treffen der FLOSS-Initiative sollen jedoch keine reinen Vortragsabende werden, die Zuhörer sind vielmehr aufgerufen mitzumachen. »Das letzte Drittel des Abends ist so genannten Lightning Talks gewidmet«, betont Christian Robbin von der Robbin & Wallusch GmbH, »das sind fünfminütige Kurzvorträge, die ein beliebiges Open-Source-Thema behandeln können. Jeder Teilnehmer hat an diesem Abend die Gelegenheit, einen solchen Minivortrag über ein Thema, das ihm am Herzen liegt, zu halten. So wollen wir die Abende interessanter und abwechslungsreicher gestalten. Open-Source lebt vom Mitmachen!«

Wer den Vortragsabend besuchen möchte, kann sich telefonisch
(Ticope GmbH & Co. KG, 0212-2494180) oder per E-Mail
(info@ticope.de) anmelden.

Die FLOSS-Initiative wird unterstützt von hasecke.com und Ticope GmbH & Co. KG. Wir bedanken uns schon jetzt beim Gründer- und Technologiezentrum Solingen für die Unterstützung bei der Organisation unseres ersten Termins.

Über die Ticope GmbH & Co. KG

Die Ticope GmbH & Co. KG bietet Ihren Kunden Business Server und Unternehmensportale sowie Lösungen zur Datensicherung, Kollaboration und fürs Dokumenten- und Projektmanagement. Ticope setzt das CMS Plone seit vielen Jahren erfolgreich für kleine und mittelständische Kunden ein.

Über hasecke.com

Jan Ulrich Hasecke arbeitet als PR-Berater, Publizist und Autor. Er schreibt für nationale und internationale IT-Magazine über Open-Source-Software und ist Co-Autor des Plone Anwenderhandbuchs. Als Mitglied der Plone Foundation und stellvertretender Vorsitzender des DZUG e.V. (Deutschsprachige Zope User Group) hat er beste Kontakte zur Community.