Tag Archives: security

Erwarten Versicherungen etwa Vertrauen in ihre IT?

30. Juni 2011 | Kai Nehm

Ein kurzer Rant zur IT Security bei Versicherungen muss jetzt sein.

Ich bekomme eine Mail, dass eine Nachricht in der Postbox liegt. Darin wird schon darauf hingewiesen, dass man die Zugangsdaten online neu beantragen kann. Verständlich, weil man meldet sich ja nicht täglich dort an.

Ok, Zugangsdaten vergessen. Ich gebe meinen Namen, eine Zahl vom Perso, die übliche Sicherheitsabfrage über Familienmitglieder und Vertragsdaten an. Danach darf in der Korrespondenz von 2009 nach einer PIN suchen und danach ein neues Passwort vergeben. Nebenbei erfahre ich meinen kryptischen Login-Namen.

Soweit so gut, die müssen sich wohl extrem absichern. Denke ich.

Und plötzlich kann ich mir die Zugangsdaten für meine Unterlagen ausdrucken, in DIN A4 mit Briefkopf, Steuernummer und Namen des Vorstands. Und dem Passwort im Klartext!
Welche Experten denken sich so einen Schwachsinn etwas aus? Wenn ein Dienst mein Passwort im Klartext zugänglich macht, kann man sich alle weiteren Mechanismen auch gleich sparen. Lernen die denn nie? Hashwerte mit vernünftigem Salt sind weder Hokuspokus noch Allheilmittel. Das ist Basissicherheit wie ein Zugang per SSL.

my point of view | , , | Leave a comment

Warum nicht X.509?

4. Februar 2009 | Kai Nehm

Nur weil SpON die DE-Mail gerade wieder hochspielt, mal die Frage warum man das nicht auf dem einfachen Weg lösen kann?

Mit S/MIME uns X.509 existieren bereits elegante Lösungen der sicheren Mail und so ziemlich jeder aktuelle Client kann damit umgehen.
Leider kosten die Zertifikate immer noch mehr, als der Durchschnittsbürger dafür ausgeben würde.
Bei Elster bekommt man eins “umsonst”, allerdings nicht für Emails.

Im SigG sind Anforderungen an Anbieter definiert, man könnte ja mal ausrechnen, auf welche Grenzkosten man bei flächendeckendem Einsatz noch kommt. Vielleicht ist der Weg über internationale Standards auf lange Sicht gar nicht so verkehrt.

WOT Seal
An dieser Stelle noch einmal die Erinnerung, dass ich Thawte-Notar bin und 15 Punke vergeben kann.

Thawte ist zwar kein Zertifizierungsdiensteanbieter mit Anbieterakkreditierung nach SigG, dafür sind die Zertifikate kostenlos.

my point of view, tech | , , | Leave a comment

Verbindungsdaten und Verschlüssselung

12. November 2007 | Kai Nehm

Nachdem das umstrittene Gesetz zur Vorratsdatenspeicherung jetzt den Budestag passiert hat, rufen einschlägige Blogs und Foren zur Verschlüsselung auf.

Leider bringt diese Aktion gar nichts, denn es sollen lediglich die Verbindungsdaten gespeichert werden. Auch bei verschlüsselten Mails sind Absender, Empfänger, Datum und Größe sichtbar und werden genauso protokolliert. Da bei der Verschlüsselung gleichzeitig auch signiert wird, schützt man so zwar den Inhalt der Kommunikation, bei den relevanten Verbindungsdaten ist man dafür wesentlich freizügiger. Schließlich schreibt jetzt nicht mehr Alf_23 @ hotmail.cn an Xx_Hot_Babe_xX @ yahoo.nu, sondern hinter den Adressen liegen auf den Keyservern öffentlich einsehbar die Realnamen der beiden Personen, oft sogar mit einer Bestätigung der Identität durch eine Signatur anderer User.

An sich ist Verschlüsselung von Mails oder Daten durchaus begrüßenswert und falls jemand mit mir verschlüsselt kommunizerien will, mein gpg-key ist inzwischen von ein paar Leuten signiert und auch X509 ist eine Option. Mit FireVault wäre auch Datenverschlüsselung schnell und komfortabel möglich.

Wer aber aufgrund des neuen Gesetzes zur Verschlüsselung aufruft, hat leider Instrumente und Wirkung nicht ganz verstanden und legt einen ähnlich blinden Aktionismus an den Tag wie die von ihm kritisierten Politiker.
Unabhängig davon beschneidet das Gesetz die informelle Selbstbestimmung der Bürger und insbesondere die Gehimhaltungspflichten von Beratungsstellen, Ärzten, Rechtsanwälten und Journalisten.

Leider werden Kommentare in dieser Richtung in den einschlägigen Blogs gelöscht, offensichtlich möchte man sich mit der Technik und den rechtliche Grundlagen nicht wirklich auseinandersetzen.
Radikalisierung gibt es halt auf beiden Seiten.

my point of view | , , | 5 Comments

15

30. Oktober 2007 | Kai Nehm

WOT Seal Es hat jetzt fast 1½ Jahre gedauert, seit heute kann ich 15 Punkte als Thawte Notary vergeben.Das ist immer noch nicht viel, zusammen mit einem Notary, der 35 Punkte vergeben kann, reicht das jetzt aber für ein persönliches Zertifikat.

In God we trust — all others must submit an X.509 certificate.Charles Forsythe

tech | , , | 2 Comments

Key-Signing-Party in Esslingen

3. Oktober 2007 | Kai Nehm

Am 26.10.07 findet in Esslingen die nächste große pgp-key-signing-party im Raum Stuttgart statt.

Da Zertifizierung und Sicherheit nach dem WikiWednesday kurz ein Thema unter den übliche Verdächtigen war, habe ich für den kommenden Webmontag mal angefragt, ob man da im Anschluss vielleicht auch ein paar Schlüssel signieren könnte.

Und all das nur, weil ich grad einen neuen Schlüssel generieren musste.

events | , , | Leave a comment