Schöner Verschreiber…
“Hacker tricksen neuen Personalausweis aus” (augsburger-allgemeine.de)

Zusätzliche Sicherheitsmaßnahmen seien laut BSI kein Thema. Der einzige Weg sich vor Angriffen zu schützen, ist nach wie vor die Schadsoftware bei seinem Computer stets auf dem aktuellen Stand zu halten.

…daran wird gearbeitet:
“Online-Kriminelle gehen immer raffinierter vor” (bitkom.org)

“Immer noch surft jeder Fünfte ohne Virenschutz…”
(…)
Viren und andere Schadprogramme sind die häufigste Erfahrung mit Online-Kriminalität. 43 Prozent der Internet-Nutzer ab 14 Jahren – das entspricht 22 Millionen Deutschen – haben schon einmal erlebt, dass ihr Computer infiziert wurde. Im Vorjahr waren es noch 38 Prozent.

“Praktische Demonstration erheblicher Sicherheitsprobleme bei Schweizer SuisseID und deutschem elektronischen Personalausweis” (ccc.de)

Der CCC weist alle zukünftigen Ausweisbesitzer darauf hin, daß nur höherwertige Lesegeräte – mindestens der Klasse 2 – verwendet werden sollten, um wenigstens einen Schutz vor den simplen Angriffen mittels leicht verfügbarer Spionagesoftware zu erreichen. Sie unterscheiden sich von den Billiggeräten durch ein eingebautes Pinpad. Dadurch muß die PIN nicht mehr am PC eingegeben werden, wo sie von der Schadsoftware abgefangen werden kann.

Bisher gibt es laut dem hier — “Kartenleser” (ccepa.de) — aber nur zwei vom BSI zertifizierte Kartenleser und dies sind beides Basisgeräte ohne Eingabefeld für die PIN. Fünf Wochen noch bis zum 1. November. Tick… Tack… Tick… Tack…

(Wenn der Browser mault das dem Zertifikat auf ccepa.de nicht getraut wird… Die Fraunhofer trauen sich nur selber. Und wenn die Seiten etwas komisch aussehen… Die statischen Seiten wurden mit dem Exploder gespeichert. Liferay wird wohl nicht mehr getraut — was meine Schuld ist. <g>)

Das Ministerium und seine nachgeordneten Behörden sehen das ePA-Projekt naturgemäß anders: “Der Spagat zwischen Datenschutz und Bedienungskomfort ist gelungen”, schreibt das Bundesamt für Sicherheit in der Informationstechnik (BSI) über den elektronischen Personalausweis in seinem aktuellen Jahresbericht.

“Was die da rauchen, hätten wir auch gern mal”, kommentierte CCC-Sprecher Engling.

Die Antwort vom BSI zum eigenen Drogenkonsum:

BSI-Sprecher Matthias Gärtner reagierte darauf am Donnerstag mit dem Hinweis, «dass in Gebäuden der Bundesverwaltung – und somit auch im BSI – Rauchverbot besteht»

Quelle: “Keine Drogen für den Chaos Computer Club” (newsticker.sueddeutsche.de)


Das BSI fühlte sich wohl genötigt dem Bericht des CCC etwas entgegenzusetzen:
“White Paper zu Kartenlesegeräten für den neuen Personalausweis” (bsi.bund.de)

Es ist in dem Fall höchsten möglich, mit Hilfe einer falschen Angabe dem Nutzer vorzutäuschen, weniger personenbezogene Daten auszulesen, als tatsächlich übermittelt werden,

Will ich das mehr Daten an den Dienstanbieter übermittelt werden als die die mir angezeigt wurden und deren Übermittlung ich zugestimmt habe?

oder eine Authentisierung gegenüber einem anderen Dienstanbieter durchzuführen, als vom Nutzer gedacht.

Dienstanbieter-A kann sich für Dienstanbieter-B ausgeben und meine Daten abgreifen?

Leute… Wir reden hier vom Personalausweis und nicht von der Kundenverfolgungskarte der Tanke um die Ecke!


Und weiter aus dem White-Paper des BSI:

Wesentliche und wichtigste Sicherheitsmaßnahme ist die Absicherung des Rechners durch Antivirensoftware, die Benutzung einer Firewall und die Installation aller Sicherheitsupdates. Diese Maßnahmen werden vom BSI unabhängig von der Verwendung der Online-Authentisierung grundsätzlich empfohlen [3]. Auch in der Rechtsprechung wird eine Pflicht des Nutzers zur angemessenen Sicherung eines am Internet angeschlossenen Rechners bestätigt (z.B. LG Köln 5.12.2007, 9 S 195/07).

Personal Firewall (de.wikipedia.org)

Eine (auch: ein) Personal Firewall oder Desktop Firewall (von englisch firewall Brandschutzwand „Brandmauer“) ist eine Software, die den ein- und ausgehenden Datenverkehr eines PCs auf dem Rechner selbst filtert. Sie wird zum Schutz des Computers eingesetzt und vom Bundesamt für Sicherheit in der Informationstechnik (BSI) als eine empfohlene Schutzmaßnahme für Nutzer des Internets aufgelistet.

Im Gegensatz zu einer klassischen Netzwerk-Firewall ist eine Personal Firewall keine eigenständige Netzwerkeinheit, die den Verkehr zwischen zwei Netzwerken filtert. Sie filtert nur zwischen dem Rechner, auf dem sie läuft, und dem Netz.

Ein Nachteil dieses Prinzips ist, dass die Firewallsoftware selbst einen Angriffsvektor darstellen kann. Die Ausnutzung oder Umgehung dieser kann den vollständigen Zugang zum zu schützenden System bedeuten.

Antivirenprogramm (de.wikipedia.org)

Ein Antivirenprogramm (auch Virenscanner oder Virenschutz genannt, Abkürzung: AV) ist eine Software, die bekannte Computerviren, Computerwürmer und Trojanische Pferde aufspürt, blockiert und gegebenenfalls beseitig

“Gesetz über Personalausweise und den elektronischen Identitätsnachweis sowie zur Änderung weiterer Vorschriften – Vom 18. Juni 2009” (bmi.bund.de / PDF)

§ 27
Pflichten des Ausweisinhabers
(…)
(3) Der Personalausweisinhaber soll durch technische und organisatorische Maßnahmen gewährleisten, dass der elektronische Identitätsnachweis gemäß § 18 nur in einer Umgebung eingesetzt wird, die nach dem jeweiligen Stand der Technik als sicher anzusehen ist. Dabei soll er insbesondere solche technischen Systeme und Bestandteile einsetzen, die vom Bundesamt für Sicherheit in der Informationstechnik als für diesen Einsatzzweck sicher bewertet werden.

Und nun schauen wir noch einmal an den Anfang:

“Immer noch surft jeder Fünfte ohne Virenschutz…”
(…)
43 Prozent (…) haben schon einmal erlebt, dass ihr Computer infiziert wurde.

Ist die eID- und die Signaturfunktion des neue Personalausweis wirklich schon tauglich für den Otto-Normal-Surfer?

“Web to Date 7 veröffentlicht” (heise.de)

Data Becker hat Version 7 seines Desktop-CMS Web to Date veröffentlicht. Das Windows-Programm ermöglicht mit Hilfe anpassbarer Fertig-Layouts die Gestaltung von Websites nach dem Baukastenprinzip

Damit ist eigentlich schon (fast) alles gesagt, auch wenn der Artikel bei Heise etwas länger ist. Viel interessanter, wie ich finde, ist die Diskussion dazu im Forum von Heise. :O)

Ich finde sowas nur peinlich … weil man dann genau sieht womit die Seite erstellt wurde.

Naja, wer sich etwas auskennt, der sieht einer Seite auch die Mutter an, egal ob es TYPO3, Drupal, Joomla oder Imperia ist. Wirklich peinlich ist es vielleicht wenn ein Webdesigner “Web to Date” benutzt und seiner Kundschaft eine “professionelle Homepage” anbietet. (Die “Homepage” ist ja nur die Startseite, da kann nicht so viel schief gehen. <g>) Es gibt auch “Webdesigner” die die Software von Data Becker benutzen, alle Hinweise zum Generator aus dem Quellcode entfernen und das Ergebnis als Eigenentwicklung verkaufen.

Ok, es ist eine Meldung. Aber keine brauchbare. Welchen Nutzen bietet sie? Ausser für die Firma die hier beworben wird.

Schreibt Heise über ein Produkt der Äpfelmännchen dann gibt es solche Kommentare kaum. Die Heise-Leser sind wohl alle Jobs-Jünger. :O)

Ich gebe es zu, auch mir kommt der Artikel etwas verirrt daher. Der “Web to Date”-User ist wohl eher kein Heise-Leser, ich würde ihn eher in Richtung CHIP verorten. Vielleicht will Heise auch nur mal in fremden Gewässern fischen. Jeder Computerinteressierte fängt mal klein an. Heise-Leser vergessen gerne dass auch sie am Anfang mit den gleichen vielen Fragezeichen in der c’t gelesen haben.

Und die Profis nehmen eh Dreamweaver & Co.

Profis und Dreameaver… DER war gut…

Dreamewaver ist 100% KEIN Profitool sondern nur eine Krücke für Möchtegerns

Das sehe ich ähnlich, wobei ich allerdings nicht weiß ob es einfach an der Software von Adobe liegt oder am Unvermögen derer die es einsetzen. Auch mit WORD kann man schnell ansprechende Dokumente erstellen, nur kennen die wenigsten Benutzer alle Features der Software, ähnlich sieht es wahrscheinlich mit Dreamewaver aus.

178,50 Euro für die Downloadversion von “Web to Date 7″ mag bei vier- oder fünfstelligen Beträgen die für einen “professionellen Internetauftritt” verlangt und bezahlt werden als Schnäppchen erscheinen oder auch einfach nur als “billig == schlecht”. Aber… muss es denn immer gleich ein 50MB schweres CMS sein, mit fein granulierbaren Berechtigungssystem und Mordsbackend (in der Grundinstallation), nur um fünf, eher statische, Seiten ins Netz zu bringen?

Viele Werbeagenturen bieten ihren Kunden seit vielen Jahren auch Websites an, obwohl sie wenig Ahnung von Onlinemedien haben, ursprünglich aus der Printecke kommen und meinen, das Webdesign nur die moderne Form von Printdesign ist. Die echten Webdesigner kennen den Ärger mit den Printlern und können davon ein Lied singen — mit vielen Strophen. Aber ich will jetzt gar nicht auf TYPO3 rumhacken… ups… hab ich TYPO3 gesagt… :O) Es gibt sicher viele Seiten, für die ein mächtiges CMS wie TYPO3 goldrichtig ist, aber, seien wir mal ehrlich, das was so manche Agentur ihrem Kunden andreht ist einfach fehl am Platze.

Wenn ich im Garten ein Loch für ein kleines Bäumchen buddeln will, dann brauche ich auch keinen 90,6 Tonnen schweren “Ladeschaufelbagger 385C FS” (deutschland.cat.com). ;O)

Eine gute Webagenturen zeichnet aus, dass sie eben nicht alles mit TYPO3 erschlägt, sondern auf die Bedürfnisse des Kunden abgestimmt, das anbieten was sinnvoll ist.

Es gibt Kunden/Bedürfnisse da reicht “Web to Date” vollkommen aus (der generierte HTML-Quellcode ist gar nicht mal so schlecht), andere benötigen etwas mehr Flexibilität und noch anderer brauchen ein CMS mit der eine Redaktion einer großen Zeitung/Zeitschrift diverse verschiedenartige Seiten, mit verschiedenen Benutzerrechten verwalten kann.

Bevor man irgendein Web-CMS benutzt, bei dem dauernd neue Sicherheitslücken auftreten (Typo3, WordPress usw.), nimmt man lieber ein Desktop-CMS.

Ich habe mir “Web to Date” von Data Becker angeschaut. Nach der Installation unter Windows, habe ich innerhalb von Minuten eine ansprechende Website im Netz gehabt, aber nach weniger als einer Minute fand ich auch schwerwiegende Sicherheitslücken.

Nur so viel: Alle Benutzer von “Web to Date” sollten sofort das Gästebuch löschen.

Ich habe Heise auf die Fehler hingewiesen, in der Hoffnung das diese in einem Update zum Artikel Erwähnung finden und sie Data Becker von dem Vorhandensein von eklatante Sicherheitslücken überzeugen können. Data Becker hat natürlich auch eine E-Mail bekommen, aber glauben die einem kleinen Korinthenkacker wie mir? :O)

Bei einem CMS welches auf einem Webserver installiert wurde und online benutzt wird, da ahnen die Benutzer schon, dass die Software auch Fehler enthalten kann und sie selber Updates einspielen müssen.

Was ich an WordPress so schätze ist das einfache Updaten aus dem Backend heraus. Loggt man sich ein so wird einem ein Update automatisch angezeigt, welches man auch automatisch durchführen kann.

Wie kann Data Becker aber nun alle “Web to Date”-Benutzer erreichen?