Heartbleed Bug anschaulich erklärt

Geschrieben von Wilhelm Klenner am in Know How, News

Heartbleed

Wie erklärt man einer nicht so sachkundigen Person, was es mit dem Heartbleed-Bug wirklich auf sich hat und wodurch hier das große Problem entsteht. Dazu hat uns Herr Steiner von Corex freundlicherweise einen tollen Link auf eine Homepage geschickt, wo der Heartbleed-Bug sehr ansprechend erklärt wird:

http://xkcd.com/1354/

Und weil das ja schon seit einiger Zeit verwendet werden konnte, ohne Spuren zu hinterlassen, ist es so wichtig, seine Passwörter zu ändern. Definitiv nicht betroffen sind Microsoft-Plattformen wie Office365, Sharepoint, Skype, etc. Zu den bekanntesten Opfern zählt leider neben Facebook auch Dropbox. Nachdem unsere Firewalls bei Kunden immer noch bei Facebook-Zugriffen warnen, scheint dort das Problem bis dato (11.04.2014, 15:30) nicht bzw. nicht überall behoben zu sein. Selbst wenn ein Test eines Server anzeigt, dass er (jetzt gerade) nicht (mehr) für den Heartbleed Bug anfällig ist, kann man sich nicht sicher sein, ob hier nicht einfach schon ein Patch eingespielt wurde, der Server aber vorher sehr wohl betroffen war. Somit gilt einfach: Wer ganz sicher gehen möchte, ändert alle online verwendeten Passwörter.

Dabei bietet sich gleich die Gelegenheit, wirklich für jeden Online-Dienst ein EIGENES Password zu verwenden. Diese müssen sich nicht großartig voneinander unterscheiden, aber es ist wichtig, dass nicht ein gehacktes Password bei vielen anderen Diensten auch noch passt.

Als Empfehlung für ein sicheres Passwort-Konzept gilt nach wie vor: Lange Passwörter (mindestens 8 Zeichen), wenn möglich eine Kombination aus Buchstaben in Groß- und Kleinschrift, Ziffern und Sonderzeichen. Bewährt hat sich die Methode, sich einen Satz auszudenken und dann von jedem Wort die Anfangsbuchstaben zu nehmen. Dann vielleicht mit einem Sonderzeichen abgetrennt ein Kürzel für den jeweiligen Online-Dienst und schon hat man eine Methode, wie man ein sicheres Passwort hat, welches man sich auch merken kann.

Z.B. der Merksatz „Ich fahre im Urlaub gerne in den Süden, da hat es 30 Grad.“

Password: IfiUgidS,dhe30°

Und mit Kürzel für den Dienst könnte es so aussehen:

IfiUgidS,dhe30°#az für Amazon
IfiUgidS,dhe30°#go für Google

usw. Das sind wirklich perfekte Passwörter!

Wie schon eine alte chinesische Weisheit sagt: „Nur weil Du weißt, dass Du paranoid bis, heißt es noch lange nicht, dass sie nicht hinter Dir her sind“ – in diesem Sinne lieber auf Nummer Sicher gehen.

Herzlichst,

Wilhelm Klenner

 

klenner.at Logo

IT-alliance Kooperation: Suchmaschinenranking erhöhen SEO

Geschrieben von Markus Zoglauer am in Know How, News

beteiligte Firmen:

Ivellio-Vellin professionelle IT-Lösungen e.U
mcsinn e.U.
Informatom EDV-Dienstleistungen e.U.

Anforderung:
Die Website ivellio-vellin.at und der Webshop im Suchmaschinenranking (SEO) auf höhere Plätze erscheinen zu lassen

 

Projektzeitraum:
1. Schritt 6 Monate
2. Schritt 3 Monate
In der Anfangsphase wurde die Firma Ivellio-Vellin von der Firma mcsinn ausgiebig beraten und informiert. In der Planung stellt sich eine neue Herausforderung dar. Es gab doppelt erreichbare Seiten. So wurde im 2. Schritt ein weiterer Experte, die Firma Informatom, eingebunden. Durch den technischen Background konnte die Firma mcsinn und die Firma Informatom gemeinsam das Projekt SEO zum Abschluss bringen.

Durch die gute Kooperation der beteiligten Firmen konnte eine Verbesserung der Suchmaschinen-Ergebnisse für die Website und der Webshop von der Firma ivellio-Vellin erreicht werden.

 Eine tolle Zusammenarbeit zwischen zwei IT-alliance Partner!

 

Kaspersky Webseite kann selbst Schadsoftware verbreiten

Geschrieben von Bauer am in Know How, News

Nachdem letzte Woche beim Virus Scanner Hersteller Avira eine SQL Injektion Sicherheitslücke entdeckt wurde, hat es jetzt Kaspersky getroffen. Eine schwere Sicherheitslücke auf der Herstellerseite http://www.kaspersky.com/de/ lässt das Einschleusen von Schadsoftware zu. Der Besucher der Webseite kann dadurch mit einem Trojaner infiziert werden.

Im Video wird gezeigt, wie die Kaspersky Webseite selbst zur Verbreitung von Schadsoftware missbraucht werden kann. Dem Webseitenbesucher konnte so beim Kauf eines Virenscanner sehr einfach sowohl ein Virus als auch eine beliebige Phishing Webseite untergejubelt werden.

 

Wie sichern Sie Ihre Webseite ab?

Geschrieben von Patrick Pachner am in Know How

Screenshot eines Passwortfeldes von Wordpress

In den letzten Monaten gab es zahlreiche Angriffe auf populäre CMS Systeme wie WordPress, Joomla und Co. Aber was kann man dagegen tun? Die folgenden Tipps sollen Ihnen helfen, Ihre Webseite so gut wie möglich abzusichern.

Benutzername und Passwort

Viele Systeme haben Standarduser wie admin. Diese sollten Sie gleich bei der Installation oder im Nachhinein ändern. Das ideale Passwort besteht aus mindestens 8 Zeichen und kann Klein- und Großbuchstaben sowie Zahlen und Sonderzeichen enthalten. Dieses Passwort verwenden Sie bitte nur für diese Webseite.

Aktuelle Software

Ihr CMS System sollte immer am aktuellsten Stand sein. Angreifer wissen um die Schwachstellen von veralteten Systemen und oft kommt man erst Monate nach einem Angriff dahinter, dass etwas verändert, gelöscht oder installiert wurde. Vor allem die Updates die Sicherheitslücken schließen müssen spätestens nach einer Woche installiert werden.

Aktueller Provider

Ebenso wie die Software muss auch der Server auf dem die Webseite liegt auf dem aktuellsten Stand sein. Sparen Sie nicht am falschen Platz und suchen Sie sich einen professionellen Provider, der dies automatisch für Sie macht.

Wie so oft werden diese Dinge erst gemacht, wenn es bereits zu spät ist. Also fangen Sie lieber jetzt gleich an und ersparen Sie sich viele Probleme.

Adblock Plus – besser schnell deinstallieren

Geschrieben von Robert Medlitsch am in Know How, News

Werbeblocker sind sehr beliebt und ganz besonders beliebt (vor allem bei Chrome- und Firefox-Verwendern) ist „Adblock Plus“. Dass aber hinter diesem Browser-PlugIn ein mafiöses Netzwerk steckt, wird wohl viele überraschen. Im Endeffekt zeigt „Adblock Plus“ ein trojanerartiges Verhalten und ist ganz offenbar nicht zum Wohl der Internet-Surfer gebaut worden, sondern um die Werbewirtschaft erpressen zu können.

Sehr detailliert beschreibt www.mobilegeeks.de diese Machenschaften, die wohl zumindest am Rande (wenn nicht ohnehin jenseits) der Legalität ablaufen.

„Adblock“ scheint übrigens mit „Adblock Plus“ nichts zu tun zu haben und kann weiterhin verwendet werden.

Elektronische Rechnung im Wandel

Geschrieben von Karl Weintögl am in Know How, News

Die elektronische Rechnung ist in Österreich seit 2004 zulässig. Bis heute nutzen ca. 13.000 Unternehmen diese Möglichkeit und versenden ca. 300 Millionen Rechnungen pro Jahr. Damit sparen Sie insgesamt ca. 600 Millionen EURO pro Jahr gegenüber dem Versand auf dem Postweg. Um die elektronischen Dokumente zu schützen, werden automatisiert fortgeschrittene Signaturen angebracht, die die Echtheit der Herkunft und die Unversehrtheit des Inhaltes zuverlässig sicherstellen. Leider hat sich die elektronische Rechnung nicht in allen EU Mitgliedsstaaten so gut wie in Österreich durchgesetzt. Grund dafür waren übertriebene Anforderungen an die Signatur (Qualifizierte Signatur). Qualifizierte Signaturen dürfen nur händisch, für jedes Dokument einzeln angebracht werden. Dafür benötigt man ein externes Kartenlesegerät und eine Signaturkarte. Bei jedem einzelnen Signaturvorgang muss dann die geheime PIN am Kartenlesegerät eingegeben werden. Der Aufwand ist deswegen so hoch, weil die qualifizierte Signatur vom Gesetz her der eigenhändigen Unterschrift gleichgestellt ist. Damit die Länder, in denen diese für Rechnungen absolut ungeeignete Methode vorgeschrieben wurde, auch in den Genuss des Wettbewerbsvorteils von Staaten wie Österreich kommen können, hat die Europäische Kommission im Jahr 2011 eine Änderung der Umsatzsteuerrichtlinie ausgearbeitet, die eine Harmonisierung in diesem Bereich als Ziel hatte. Dabei sollten Hemmnisse, wie z.B.: die qualifizierte Signatur aus dem Weg geräumt werden und die elektronische Rechnung der Papierrechnung gleichgestellt werden, die man ja bekanntlich auch nicht eigenhändig unterzeichnen muss. Die Europäische Richtlinie schreibt drei wesentliche Punkte vor, die sowohl vom Rechnungsersteller, als auch vom Rechnungsempfänger sichergestellt werden müssen, unabhängig, ob die Rechnung in Papierform oder elektronisch vorliegt:
o Echtheit der Herkunft
Hier geht es darum, die Identität des Rechnungserstellers sicherzustellen
o Unversehrtheit des Inhaltes
Hier geht es darum, dass der im UST Gesetz vorgeschriebene Rechnungsinhalt nicht verändert wurde (Rechnungsmerkmale §11.3 UstG)
o Lesbarkeit
Hier geht es darum, dass die Rechnungsdaten für Menschen lesbar sein müssen (eine XML Rechnung ist dafür z.B. nicht geeignet)
Jeder Unternehmer legt selbst fest, wie er diese drei Punkte vom Zeitpunkt der Ausstellung bis zum Ende der Aufbewahrungsfrist sicherstellt.
Umsetzung in Österreich:
Beim Begriff der elektronischen Rechnung wurde das Format (pdf, txt, xml, TIFF, u.a.) der Rechnungsdatei von der Art der Übertragung (E-Mail, Download, u. a.) entkoppelt. Sie können also unabhängig voneinander frei gewählt werden. Auch eingescannte Papierrechnungen oder Faxrechnungen gelten jetzt als elektronische Rechnung. folgende Möglichkeiten für die Einhaltung der drei Kriterien (Echtheit, Unversehrtheit, Lesbarkeit) stehen zur Verfügung:
o Innerbetriebliches Steuerungsverfahren
o Qualifizierte Signatur
o Unternehmensserviceportal oder PEPPOL (betrifft nur Lieferanten an den Bund ab 2014)
o EDI Verfahren
Das Innerbetriebliche Steuerungsverfahren:
Es handelt sich dabei um ein Kontrollverfahren bei dem der Rechnungsempfänger manuell oder automatisiert die Echtheit und die Unversehrtheit der Vorgeschriebenen Rechnungsmerkmale durch Abgleich mit seinen Unterlagen (Bestellung, Auftragsbestätigung, Lieferschein, andere Belege) sicherstellt. Der Gesetzgeber empfiehlt aber jedem Unternehmer hier auch alle anderen Daten, die in der Rechnung enthalten sind (z.B.: Bankdaten des Lieferanten) im eigenen Interesse zu prüfen. Die Gefahr liegt darin, dass ein Dritter die Rechnung am Übertragungsweg verändert (z.B.: die Kontonummer manipuliert). Bei Rechnungen, die per Post versendet werden ist diese Art des Betruges ein großer Aufwand und daher eher uninteressant. Bei ungeschützten elektronischen Rechnungen kann dieser Vorgang aber mit entsprechenden Proxys automatisiert werden. Um die Prüfung zu vereinfachen und eine etwaige Manipulation schon im Vorfeld auszuschließen, werden wohl auch in Zukunft fortgeschrittene Signaturen zur Sicherstellung der Echtheit und der Unversehrtheit weiterhin im großen Stil zum Einsatz kommen.
Das innerbetriebliche Steuerungsverfahren in Kombination mit fortgeschrittener Signatur stellt sich im Endeffekt als die beste Lösung heraus, um bei geringsten Kosten und geringstem Aufwand die Echtheit und Unversehrtheit zu gewehrleisten. Diese kann auch bei unsignierten Rechnungen als Sicherstellung der Echtheit und Unversehrtheit vom Rechnungsempfänger angebracht werden.

Weitere Infos unter http://www.it20one.at

Bei Fragen stehe ich gerne zur Verfügung

Ing. Karl Weintögl

Tel.: 01990004620

Backup-Konzepte

Geschrieben von Michael Ivellio-Vellin am in Know How, News

Ein Backup (Datensicherung) hat im Wesentlichen folgenden Zweck:

  • Wiederherstellung von Daten, die irrtümlich oder aufgrund eines Fehlers gelöscht wurden [-> dafür muß das Backup rasch verfügbar sein] 
  • Komplette Systemwiederherstellung, wenn das gesicherte IT-System zur Gänze nicht mehr verfügbar ist, z.B: durch Defekt, Brand Diebstahl [-> dafür muß die Sicherung ausgelagert sein, damit sie nicht auch gestohlen wird oder verbrennt]

Die folgenden Konzepte eignen sich für kleine und mittelständische Unternehmen. Kleinstunternehmen und Konzerne sollten andere Lösungen einsetzen.

Backup-to-Disk-to-Tape

Bei diesem Konzept erfolgt eine permanente Sicherung der Daten auf einen Backup-Server. Zusätzlich erfolgt auch eine Datensicherung auf Band, damit die Daten ausgelagert werden können.

  • Rasche Wiederherstellung der Daten vom Festplattenbackup, auch z.B. einzelner E-Mails
  • Sie haben nahezu alle Daten jederzeit doppelt, nämlich 1x auf Ihrem Produktivsystem und 1x auf dem Backup-Server.
  • Komplette Sicherung von Betriebssystem, Active Directory, Programmen, Daten, Datenbanken, Mailserver und auf Wunsch auch der Arbeitsplatz-PCs.
  • Einstellbare Versionierung bestimmter Datentypen (z.B. von Verträgen)
  • Bei Defekt eines Servers kann dieser sehr rasch in einer virtuellen Umgebung auf dem Backup-Server wiederhergestellt werden.

Tipp: stellen Sie den Backup-Server in einen anderen Raum oder Brandabschnitt als den Fileserver.

 

Online-Backup

Bei einer Datensicherung auf Band ist in der Regel ein manuelles Eingreifen erforderlich, da Backupbänder gewechselt und ausgelagert werden müssen. Für manche Anforderungen ist daher ein Online-Backup eine interessante Alternative.

Beim Online-Backup werden die Daten in ein entferntes Rechenzentrum gesichert; ein Auslagern von Sicherungsbändern ist daher nicht mehr notwendig. Ivellio-Vellin bietet nicht nur ein reines Online-Backup, sondern ein komplettes Online-Datensicherungskonzept.

Unser Online-Datensicherungskonzept beinhaltet eine 2-stufige Sicherung.

Stufe 1:

Zuerst werden die Daten im Rahmen eines „Backup-to-Disk“ auf ein Festplattensystem beim Kunden gesichert.

Stufe 2:

Die Daten vom Festplattenbackup werden mehrmals täglich (z.B. früh, mittags, abends) über eine verschlüsselte Verbindung auf ein Speichersystem bei Ivellio-Vellin übertragen.

Ihre Vorteile (zusätzlich zum o.a. Backup-to-Disk-to-Tape)

  • Rasche komplette Systemwiederherstellung im Fall einer Katastrophe (Feuer, Diebstahl des Servers,…), auf Wunsch auch temporär bei Ivellio-Vellin
  • Kein manuelles Eingreifen, sondern vollautomatische Sicherung und Auslagerung

 

Was ist eine Preselection oder wie spare ich ohne Aufwand Telefonkosten?

Geschrieben von Wilhelm Klenner am in Know How

Es gibt in Österreich nur wenige Kommunikations-Anbieter, bei denen man einen ISDN Anschluss bestellen kann. Neben dem ehemaligen Monopolisten „A1 Telekom“ ist das noch die Tele2, Colt und mit einigen Einschränkungen UPC. Wenn man bei einem dieser drei alternativen Provider einen Anschluss hat, ist man an den Tarif dieser Anbieter gebunden. Nicht so, wenn man Kunde von A1 ist. Hier hat man die Möglichkeit, die Gespräche über einen anderen Provider zu führen, obwohl man den ISDN Anschluss weiterhin von A1 hat. Im Fachjargon heißt das „Preselection“.

Der Ablauf ist folgendermaßen:

  • Sie haben die Befürchtung, dass Ihre Telefonrechnung zu hoch ist und lassen sie durch klenner.at analysieren
  • Das Ergebnis zeigt, mit welchem alternativen Provider Sie wie viel Prozent einsparen können.
  • Sie entscheiden, ob Sie die Einsparung lukrieren möchten und unterzeichnen das Bestellformular des Providers
  • Dieser leitet den Auftrag an A1 weiter. Dort wird voreingestellt (Preselection(!)), dass ab sofort alle Gespräche über diesen alternativen Anbieter laufen sollen
  • Gegebenenfalls wird noch bei A1 der Tarif für die Grundgebühr auf die geringst mögliche Stufe gewechselt.

Die Grundgebühr (und alle Anruf zu Mehrwertnummern und preisgebundene Dienste) bekommen Sie weiterhin von A1 verrechnet, für die Gesprächsgebühren bekommen Sie eine Rechnung vom alternativen Anbieter. Es sind keinerlei bauliche Maßnahmen notwendig. Die Analyse durch klenner.at ist selbstverständlich kostenlos.

Wenn Sie überprüfen möchten, ob die Schaltung schon vorgenommen wurde, können Sie das mit der Preselection-Testrufnummer  06210-000 machen. Dort sagt Ihnen eine freundliche Tonbandstimme, über welches Netz Sie telefonieren.

Somit können Sie mittels Preselection mit sehr geringem Aufwand zwischen 40% und 70% Ihrer Telefonkosten einsparen.

Ein sehr interessanter Aspekt ist auch der, dass bei vielen Providers die Gesprächsminuten gleich viel kosten, egal, ob Sie über Preselection von Ihrem bestehenden ISDN Anschluss aus oder über eine Voice-over-IP (VoIP) Leitung telefonieren. Das bedeutet, Sie brauchen keinesfalls eine VoIP-Telefonanlage, um die kostengünstigen Minutenpreise in Anspruch zu nehmen!

 

Kontaktieren Sie uns, wir helfen gerne 🙂

Auf Wiederhören,

Wilhelm Klenner
www.klenner.at

Information

Vereinsbezeichnung:
Verein zur Förderung der Kooperation
im Handel mit Informationstechnologie,
Kommunikationstechnologie und Bürosystemen

ZVR-Zahl: 440107439

Kontakt