Let´s Encrypt bei All-Inkl.com

Let´s Encrypt Logo

Es ist noch gar nicht lange her, dass ich den Blog auf SSL umgestellt habe. Jetzt steht aber schon das nächste Update ins Haus den All-Inkl.com, der Hoster meines Vertrauens, unterstützt jetzt auch Zertifikate von Let`s Encrypt.

Die Einrichtung dafür ist sehr Einfach gelöst. Im KAS der jeweiligen Hauptdomain auf SSL-Schutz klicken und anschließend auf den Reiter Let`s Encrypt. Hier den Hinweis durchlesen (Es ist noch in einer Beta!), den Haken setzen und auf Übernehmen klicken. Das war´s!
Das Ganze müsst Ihr auch bei den jeweiligen Subdomains “von Hand“ nachholen, automatisch passiert dies leider nicht (Danke Florian für den Tipp!).

Sicherlich kann lässt sich vortrefflich darüber streiten das auf diese Art und Weise die Integrität der Zertifikate nicht sichergestellt werden kann. Aber ehrlich, wer kann das bei Diensten wie StartSSL und Co nachweisen? Niemand. Daher bin ich so frei und nehme den Service so wie er ist dankend in Anspruch.

Jetzt gibt es SSL von Let`s Encrypt
Jetzt gibt es SSL von Let`s Encrypt

Wechsel von CrashPlan zu Arq

Nicht zuletzt wegen meines Datencrashes vor einigen Jahren schwöre ich auf eine gute Backup-Strategie. Diese beinhaltet auch ein sogenanntes Offsite-Backup, also eines, das nicht auf Hardware gespeichert wird, die physisch in eurem Haushalt vorhanden ist. Da es sich hierbei um den Inhalt meiner kompletten Festplatte handelt, ist es logischerweise in meinem Interesse, dass diese Daten verschlüsselt übertragen und verschlüsselt auf dem Server des Anbieters landen.

Bisher nutzte ich dafür den Service von CrashPlan. Dort kostet das 1-Jahres Abo im Familien Tarif – ich verwalte nebenbei auch noch die Backups einiger Familienmitglieder – rund 140,- Euro. Darin enthalten ist unlimitierter Speicherplatz für bis zu 10 Rechner. Es gab die Möglichkeit einen Key zum Verschlüsseln zu generieren, allerdings nur innerhalb der Software selbst. Es gab keine Option diesen extern zu erzeugen und einzufügen. Die Übertragung der Daten auf Server in den USA wurde ebenfalls 128bit AES Verschlüsselt. Soweit, so gut.
Was mich allerdings, abgesehen von dem dubiosen erzeugen des Krypto-Keys, noch mehr verzweifeln ließ, war die Client Software von Crashplan. Dieser in Java geschriebene Alptraum frisst nicht nur Systemressourcen ohne Ende, nein, er ist auch schnarchlangsam. Es gibt hier zwar einige Tricks, um die Sache erträglicher zu machen, aber es ist und bleibt halt keine native Software, die übrigens laut Anbieter seit gefühlt 5 Jahren in der Entwicklung ist.

Was neues musste also her: Arq.
Arq gibt es als native Software für Windows und für OS X, sie ist schnell, ressourcenschonend und obendrein sehr funktionell aufgebaut. Backup Ziel angeben, Ordner auswählen und los gehts. Der Client kostet als Single Lizenz 40 US-Dollar. Im Bündel wird’s entsprechend günstiger.
Der Haken an Arq: Sie bieten auch Online-Speicher an, dieser ist aber hoffnungslos überteuert. Hier habe ich mit Storage Box von Hetzner jedoch eine adäquate Lösung gefunden. Die 1 TB Box kostet 9,40 Euro pro Monat und reicht für insgesamt 4 Rechner erst mal eine ganze Weile aus. Die Verbindung erfolgt über SFTP mit selbsterstellten Zertifikaten und ist selbst für einen Laien im Handumdrehen erledigt. Schön an der Storage Box ist die monatliche Kündbarkeit und der problemlose Wechsel in andere Pakete. Das sucht man bei anderen Anbietern meist vergeblich.

Allerdings bedeutet der Wechsel, dass nun alle alten Backups bei CrashPlan weg sind und ich für jeden Rechner ein Basis-Backup zu Hetzner hochladen muss. Dies kann, bei entsprechender Größe und aufgrund unserer sauschnellen Internetverbindung  eine ganze Weile dauern. Achtet daher in dieser Zeit darauf das zumindest die TimeMachine Backups funktionieren.

Eines noch zum Schluss, das beste Backup ist nutzlos wenn es im Falle eines Falles defekt ist. Hier bieten CrashPlan als auch Arq entsprechende Routinen um die Backups zu überprüfen. Auch schadet ein gelegentliche Test nicht ob ihr eure Daten zuverlässig wiederherstellen könnt.

Goodbye GMail!

Eigentlich bietet Gmail alles, was das Herz begehrt. Große Dateianhänge? Kein Problem! Sicherer Zugriff von überall? Klar doch! Nahezu unbegrenzter Speicherplatz? Auch das!
Warum ich trotzdem dem Dienst den Rücken kehre und was es stattdessen für Möglichkeiten gibt, erkläre ich hier.

Was spricht dagegen

Machen wir uns nichts vor, Google (aka als Alphabet) lebt von Werbeeinnahmen. Dies macht natürlich nicht vor Ihrem kostenlos angebotenen Emaildienst halt1. Das diese kontextbezogene Werbung nur maschinell auswertet, ist auf der einen Seite zwar löblich, aber auf der anderen Seite auch bedenklich. Wer weiß schon genau, was noch an Metadaten aus den Mails gewonnen wird? Nicht nur das, wer kann noch auf diese Daten zugreifen?
Alles Fragen, auf die ich keine Antwort mit Gewissheit habe und je bekommen werde.

Darüber hinaus sollte jedem klar sein, Google könnte den Dienst, wie auch schon viele andere zuvor, einfach schließen. Und dann? Alle Mails futsch… Zugegeben, ein Recht hypothetisches Ereignis, aber keineswegs unmöglich.
Ähnlich sieht es aus wenn der Zugriff auf Gmail mal nicht funktioniert, sei es weil Ihr etwas verbockt habt, oder weil der Dienst nicht zu erreichen ist. Habt Ihr schon mal versucht bei Google jemand persönlich zu erreichen? Ein denkbar schwieriges Unterfangen. Worst case kommt Ihr überhaupt nicht mehr an eure Mails und könnt nichts dagegen tun!

Beachten solltet Ihr auch die Tatsache, dass eure Mailpartner, ob sie wollen oder nicht, ebenfalls von Gmail indexiert und erfasst werden. Peter Eckersley von der EFF meint dazu:

If all of your friends use Gmail, Google has your email anyway. Any time I email somebody who uses Gmail — and anytime they email me — Google has that email2.

Das mag auf den ersten Blick nicht relevant sein. Aber, mit Sicht auf die Möglichkeiten, die aus einer Auswertung der Daten resultieren, wird mir anders.

Und was sonst?

Alternative Webmailer

Hier muss man unterscheiden, bei Anbieter wie Web.de, GMX.de, Outlook und Co würde man sprichwörtlich den Teufel mit dem Beelzebub austreiben. Da steckt ein ähnliches Geschäftsmodell hinter wie bei Gmail, wenn auch die Reichweite bei weitem nicht an die von Google herankommt.

Anders sieht die Sache bei Anbietern wie Posteo oder ProtonMail aus. Diese Anbieter kann man durchweg als vertrauenswürdig einstufen.
Posteo betreibt seine Server nur in Deutschland und ist sehr transparent gegenüber seinen Kunden3. Posteo kostet auch nur einen kleinen Euro pro Monat. Einziger Haken: Es sind keine eigenen Domainnamen möglich. Eure Mailadresse endet immer mit @posteo.de
Bei ProtonMail handelt es sich um einen Service aus der Schweiz, dieser hat das zusätzliche Feature das Emails innerhalb des Dienstes Ende-zu-Ende verschlüsselt werden. Das heißt, nicht mal der Admin des Server könnte eure Emails lesen. Unklar ist allerdings noch das Geschäftsmodell, da der Dienst noch nicht lange aus seiner Beta-Phase heraus ist. Im Moment sieht es danach aus, dass sie wohl auch einen Obolus verlangen werden.

Es gibt am Markt auch noch Mail.de als Anbieter. Hier kann ich aber nichts zu sagen. Ich kenne keinen der diesen Dienst nutzt.

Shared Hosting

Viele Hosting Provider bieten die Möglichkeit zur passenden Domain auch gleich die entsprechenden Mailadresse zu registrieren und zu verwalten. Hier ist ganz klar der Vorteil: die erstellten Mailadressen gehören ganz klar zu eurer Domain. Zu den Nachteilen gehört definitiv, dass ein Wechsel des Anbieters durchaus problematisch werden kann, wenn auch gleich alle Emails und Adressen mit umgezogen werden müssen.
Auch sollte man den Anbieter seiner Wahl genau unter die Lupe nehmen. Die Server sollten zumindest in der EU stehen und zudem sollte eine hohe Verfügbarkeit garantiert werden. Ich selbst bin seit Jahren Kunde bei all-inkl und dort vollkommen zufrieden.

Mailadressen vom ISP

Von einer Mailadresse beim Anbieter seines Internetanschlusses kann ich nur abraten! Wird der Anschluss gekündigt, sind auch die Mails weg.

Eigener Mailserver

Eine Lösung für die Nerds unter euch. In der Vergangenheit hatte ich so was mal im Einsatz, aber ehrlich? Der Aufwand und die Zeit, die Ihr investieren müsst, bis das ganze mal läuft, ist enorm. Danach hat man das Thema Email zwar verstanden, ist aber auch darauf angewiesen, dass die eigene Infrastruktur permanent läuft und erreichbar ist. Obendrein ist diese Lösung auch recht kostspielig. Irgendwo muss ein Server im Internet platziert werden und das ist in der Regel nicht günstig.

Fazit

Für meinen Teil bin ich mit der Shared Hosting Lösung bei all-inkl sehr zufrieden. Sicherlich hat hier auch der Anbieter die Möglichkeit auf die Email zuzugreifen, aber es besteht hierfür in der Regel kein Interesse, oder gar eine Notwendigkeit. Die zweite Alternative: eine Hauptadresse bei einem der beiden Web Mailer. Der eigene Mailserver bleibt der nerdigen Aluhut-Fraktion überlassen. Es ist, wie schon geschrieben, eine geniale Erfahrung, aber meine gesamte Korrespondenz möchte ich durch eine unachtsame Konfiguration oder ein fehlerhaftes Update nicht verlieren.

Weiterführende Links

  • Unsicherheitsblog4
  • Google has most of my email, because it has all of yours5
  • How and why to quit Gmail6

Checkt euer Facebook Profil

Bekanntermaßen bin ich kein Freund von Facebook, aber wie es nun mal so ist, bestimmt der größte gemeinsame Nenner an Kontakten den Ort des Geschehens. Daher komme auch ich nicht umher dort auch ab und an vorbeizuschauen.

Facebook Like Buttons
Quelle: gizmodo.com

 

Um die möglichen Einstellungen, insbesondere die der Privatsphäre, zu verstehen braucht man mittlerweile ein Informatik Diplom. Daher kann ich euch nur wärmstens diesen Artikel ans Herz legen. Dieser beschreibt einfach und schnell was Ihr zu tun habt um eure Facebook-Profil ein wenig mehr abzusichern.

Es tut auch bestimmt nicht weh, versprochen!

Gedanken: Warum TouchID keine so saublöde Idee ist

Der neue TouchID-Sensor

 (Quelle: Apple)

Dass der TouchID-Sensor im neuen iPhone 5S sicherheitstechnisch nicht das Gelbe vom Ei ist hat uns der CCC ja bereits eindrucksvoll bewiesen. Rein aus Gründen der Sicherheit ist der Fingerabdrucksensor wohl er als “Gimmick” einzuordnen. Trotzdem bin ich der Meinung, dass es sinnvoll ist diese Art der Verifizierung in ein Smartphone einzubauen.

Besser als gar nichts

Wie viele eurer Freunde und Bekannten nutzen überhaupt ein Passwort auf Ihrem Smartphone – bestimmt nicht viele – und warum? Aus Bequemlichkeit oder weil sich schlichtweg keiner darüber Gedanken macht was passieren kann, wenn das geliebte Stück mal abhanden kommt – sei es durch eigene Schusseligkeit oder durch Diebstahl. Hier kommt TouchID genau richtig, erstens wird der Spieltrieb geweckt und zweitens ist es sehr einfach einzurichten. Es wird einem quasi “auf’s Auge gedrückt`”. Also ein definitiver Pluspunkt für die Sicherheit.
Ich würde sogar soweit gehen zu behaupten, dass TouchID sicherer ist als eine vierstellige Pin. Diese könnte ein potenzieller Dieb technisch relativ schnell knacken, der Fingerabdruck indes, ist schwerer zu bekommen.

Was ist mit der Rechtlichen Seite der Sicherheit

Zuerst sollte man zwischen Strafrecht und Zivilrecht unterscheiden. Zivilrechtlich ist es Apple untersagt den Fingerabdruck auf Ihren Servern zu speichern, weder als Hashwert, noch als Klardatei.

Und Vater Staat?

Strafrechtlich gesehen darf auch niemand dazu gezwungen werden mal eben so mit Hilfe seines Fingers ein Gerät zu entsperren, es sei denn es liegt ein Strafverfahren gegen Ihn vor (§ 81b StPO). Aber mal ehrlich, dann hat derjenige so wie so ein weitaus größeres Problem. Auch dürfen aus bereits gespeicherten Fingerabdrücken keine Kopien erstellt werden um damit das Gerät zu entsperren, das wäre eine Zweckentfremdung die vor Gericht zur Erklärungsnot seitens der Ermittler führen würde. Natürlich gilt dies alles nicht, wenn Gefahr im Verzug ist. Dann aber hat der Staat so wie so ganz andere Mittel an der Hand…

Zugewinn an Persönlicher Sicherheit

Für mich wäre eine Kombination aus Pin & Fingerabdruckscan die derzeit beste Kombination. Aber das wird wohl ein Wunschdenken bleiben. Letztendlich muss jeder selbst entscheiden ob und wie er TouchID (oder wie auch immer die künftigen Entwicklungen anderer Hersteller heißen werden) nutzen möchte. Meiner Meinung nach ist das System aus der reinen Sicherheitstechnik heraus gesehen tatsächlich ein Gimmick, welches sich relativ leicht umgehen ließe. Aber wer dazu in der Lage ist, lässt sich auch von einer 4-stelligen Pin nicht abhalten an die Daten zu kommen…
Allerdings ist die Hemmschwelle eine Sicherheitsschranke zu seinem System zu setzen dank TouchID ein wenig gesunken. Der daraus resultierende Zugewinn an Sicherheit ist demnach nicht zu verachten.
Last but not least regt auch die gesamte Diskussion über Pro- & Kontra von TouchID den ein oder anderen zum Nachdenken für das setzen eines Passwortes an. Das alleine wäre schon ein Gewinn!