Digitale Unterschrift statt Fax-Faxen

Warum wir eine digitale Signatur brauchen

Die jüngste Pressekonferenz von A1 und der Initiative Digitales Österreich, bei der A1-Generaldirektor Hannes Ametsreiter und Sektionschef Manfred Matzka vom Bundeskanzleramt gemeinsam die Möglichkeit präsentierten, in einem Handy-Shop auch die Handysignatur freischalten zu lassen, fachte auf Facebook und Co. wieder einmal die Diskussion an, wozu wir überhaupt eine digitale Unterschrift brauchen.

Digitale Signatur

A1-Chef Hannes Ametsreiter und Sektionschef Manfred Matzka vom Bundeskanzleramt präsentieren die Vorzüge der digitalen Unterschrift. (c) 2014 Uwe Fischer

Rund 270.000 Österreicher verwenden bereits ihr Handy, um elektronische Dokumente zu signieren oder Amtswege bequem von ihrem PC aus zu erledigen. Die Zahl erscheint gering, aber wenn man der Aussage des A1-Chefs Hannes Ametsreiter Glauben schenkt, dass noch immer ein Fünftel der österreichischen Bevölkerung das Internet komplett verweigert, erscheint die Akzeptanz der digitalen Signatur gar nicht mehr so schlecht.

Ich selbst verwende die Handysignatur bereits seit vielen Jahren und möchte auf die damit verbundenen Vorteile nicht mehr verzichten. Immer wieder taucht zwar die Frage auf, wieso man für den maximal einen Amtsweg im Jahr so einen Rummel um die digitale Unterschrift macht, und es stimmt, wenn es nur die offiziellen Behördenwege ginge, wären die zwei bis drei Stunden Zeitersparnis den Aufwand wahrscheinlich wirklich nicht wert. Aber besagte Signatur ist nicht nur ein Schlüssel zu diversen Ämtern, ihre wahre Stärke zeigt sie für mich im wirtschaftlichen, und immer mehr auch im privaten Alltag.

Die Situation hat wahrscheinlich jeder schon einmal erlebt: Man bekommt – vor allem Versicherungen machen das gern, aber auch bei der Kündigung von Internet-, Handy- und anderen Verträgen ist es durchaus üblich – ein E-Mail mit einem angehängten Formular, welches man ausdrucken, eigenhändig unterschreiben, und dann per Fax zurückschicken soll. Wenn man kein eigenes Faxgerät hat, heißt das, mit dem Zettel zur Post (so es in der Region überhaupt noch eine gibt) zu fahren und ihn dann dort für teures Geld an die jeweilige Firma schicken zu lassen. Oder man steckt das Dokument in ein Kuvert und verschickt es als Brief… Noch teurer, noch umständlicher, und noch zeitaufwändiger.

Die digitale Unterschrift macht Schluss mit solchen Faxen. Man gibt in ein kleines Computerprogramm seine Handynummer und ein geheimes Passwort ein, erhält dann eine SMS mit einem TAN-Code, gibt diesen ebenfalls in den Computer ein, und schon erhält das elektronische Dokument eine rechtsgültige Unterschrift, die völlig gleichwertig einer händischen Signatur ist – das auf diese Weise unterschriebene Dokument kann nun per E-Mail zurückgeschickt werden, und die ganze Prozedur hat nicht einmal fünf Minuten in Anspruch genommen.

Genauso einfach und schnell geht es, eine Rechnung zu unterschreiben, und da das Ganze für den Bürger kostenlos ist, sehe ich keinen Grund dafür, die digitale Signatur abzulehnen, oder sich sogar lautstark dagegen auszusprechen – außer vielleicht die generelle Angst vor allem Neuen, frei nach dem Motto „Das haben wir bisher nicht gebraucht, das brauchen wir auch in Zukunft nicht.“ Vor allem im ländlichen Bereich, wo jeder Amtsweg, aber auch der Gang zur Post oder zur Versicherung einen Tagesausflug bedeutet, ist die elektronische Unterschrift ein wahrer Segen, während man in der Großstadt das stundenlange Warten in irgendwelchen Vorzimmern komfortabel umgehen kann.

Nähere Infos, wie man zu einer digitalen Signatur kommt, und was man damit wirklich alles machen kann, gibt es unter https://www.handy-signatur.at/

 

Falscher Malware-Alarm legt Internetradio lahm

Für Norton DNS war Radio Arabella „bösartig“

Ein falscher Alarm bei dem Internet-Security-Anbieter Symantec hat es den Benutzern von Norton-DNS mehrere Tage lang unmöglich gemacht, auf ihren Internet-Radios „Radio Arabella“ zu empfangen. Der Server, über den die Musik ins Web gestreamt wird, wurde fälschlicherweise als Malware-verseucht eingestuft und für einen direkten Zugriff gesperrt.

Norton DNS

Der Server, über den Radio Arabella gestreamt wird, wurde irrtümlich als gefährlich eingestuft, sodass Internetradios, die mit Norton DNS geschützt waren, nicht mehr darauf zugreifen konnten.

Als ich dieser Tage in der Früh wie immer mein Internet-Radio aufdrehte, blieb das Gerät auf einmal stumm… Auf dem Display strahlte mich lediglich die Message „Keine Verbindung“ an, ohne weitere Angabe von Gründen. Ok, dachte ich, ein Senderausfall kann schon mal vorkommen, und schenkte dem Vorfall vorerst keine weitere Beachtung. Als zwei Tage später das Radio noch immer stumm blieb, wandte ich mich an Arabella, wo man nichts von einer Störung wusste. Jetzt war meine Neugier geweckt… Wieso konnte ich problemlos die exotischsten Programme aus aller Welt empfangen, aber einen heimischen Sender nicht hören?

Da das Internet-Radio selbst nicht imstande ist, konkrete Fehlermeldungen anzuzeigen, machte ich mich auf die Suche nach der Streaming-URL von Radio Arabella, gab diese in meinen PC ein, und siehe da… Der Internet Explorer schmetterte mir eine Warn-Seite von Symantec entgegen, auf der Norton DNS mich warnte, dass die gewünschte Seite „bösartig“ sei – um sie dennoch aufzurufen, müsste ich auf einen Bestätigungs-Button klicken. Nun, das Internet-Radio hat keinen Web Browser, und damit keine Möglichkeit, irgendetwas anzuklicken, deshalb blieb es also stumm… Somit war Teil 1 des Rätsels gelöst. Jetzt stellte sich nur noch die Frage, wie kam die Warnung zustande, und wie konnte ich sie umgehen?

Norton DNS ist ein Teil des Norton ConnectSafe Programms von Symantec: Wenn in den Netzwerkeinstellungen eines PC die IP-Adressen von Norton DNS eingegeben werden, laufen alle Anfragen über die Server von Symantec. Zum besseren Verständnis: Jede Webseite hat eine eigene Adresse im Internet, die (derzeit noch) aus vier Zifferngruppen besteht. Ein DNS-Server hat nun die Aufgabe, eine für uns besser verständliche Adresse (wie z.B. www.binatang.at) in die für Computer lesbaren Zahlencodes zu übersetzen.

Die Adresse des DNS-Servers kann nicht nur in den Netzwerkeinstellungen des PCs, sondern auch direkt im Router, der das Heim- oder Firmennetzwerk mit dem Internet verbindet, eingetragen werden. Und genau dort lag das Problem im „Fall Arabella“: Mein Router hatte standardmäßig eine Norton-Adresse als DNS-Server eingetragen, so dass alle Seiten, die Symantec als riskant einstuft, blockiert wurden – auch wenn dies, wie im konkreten Fall, nur ein Irrtum war, und der Server des Wiener Internet-Anbieters kapper.net, auf dem die Programme von Radio Arabelle gehostet sind, völlig sauber ist!

Die Lösung des Problems war nun nur noch ein paar Tastendrucke entfernt: Anstatt der Norton DNS gab ich über die Benutzeroberfläche meines Routers die Adressen des DNS-Service von Google ein (8.8.8.8 und 8.8.4.4), und wenige Sekunden später spielte das Internet-Radio auch schon wieder meine Musik…

http://wiki.ubuntuusers.de/Internetradio/Stationen

http://dns.norton.com

http://www.arabella.at

http://www.kapper.net

 

 

SEPA die Zweite: Vorsicht vor Betrügern!

Nicht jede IBAN-Anfrage ist echt

Mit der Umstellung auf einen einheitlichen Zahlungsverkehr in der Euro-Zone ist nun mit einer verstärkten Phishing-Welle zu rechnen. Da viele Firmen von ihren Kunden eine tatsächliche Bestätigung ihrer Bankdaten (IBAN und BIC) anfordern, springen Kriminelle auf diesen Zug auf und versuchen, ihren arglosen Opfern auf diese Weise sensible Kontoinformationen zu entlocken, die dann für teures Geld auf dem Schwarzmarkt verkauft werden. 

RescueCD

Wenn ein Rechner erst mit Schadsoftware infiziert ist, lassen sich die darauf gespeicherten Daten in den meisten Fällen mit Hilfe einer Rescue CD retten. (c) 2014 Uwe Fischer

Wenn eine Mail in einem holprigen Deutsch verfasst ist und nur so von Fehlern strotzt, wird auch der naivste User schnell durchschauen, dass es sich hier um eine Fälschung handelt. Auch das Fehlen einer persönlichen Anrede weist auf eine so genannte Phishing-Attacke hin. Unter Phishing versteht man, einem Internet-Benutzer unter Vorspiegelung falscher Tatsachen persönliche Daten, meist im Zusammenhang mit Bankkonten oder Kreditkarten, zu entlocken, und leider werden die Techniken, derer sich die Computerkriminellen bedienen, immer ausgereifter. So stößt man immer öfter auf Phishing-Mails mit korrekter, persönlicher Anrede, einem scheinbar ebenfalls korrekten Absender, und Briefköpfen, die bis ins Detail dem Corporate Design des vorgetäuschten Unternehmens entsprechen. Erst, wenn man den Mauszeiger über einen Link, den man beispielsweise zur Bestätigung der Daten anklicken soll, fährt, kann man in der Info-Zeile bei genauem Hinschauen erkennen. dass die Verlinkung nicht zu der angegebenen Adresse, sondern irgendwo anders hin führt. Erkennt man dies zu spät und klickt man tatsächlich darauf, nimmt das Unheil unter Umständen schon seinen Lauf.

Was nun passiert, hängt von der jeweiligen Tätergruppe ab: Während die einen tatsächlich eine Eingabe von Daten verlangen, installieren andere einen Trojaner auf dem PC, der dann für andere Schandtaten genutzt wird. Oft führen die gefälschten Links auf präparierte Webseiten, die dann den Internet-Browser innerhalb von Sekundenbruchteilen auf allfällige Sicherheitslücken überprüfen und dann an dieser Stelle Schadsoftware einschleusen. So kann dann beim nächsten Systemstart der Rechner mit einer – natürlich gefälschten – Nachricht der Polizei hochfahren, dass auf dem PC Raubkopien, Pornos o.ä. entdeckt worden seien, und man erst nach einer Zahlung einer bestimmten Geldsumme einen Code erhielte, um den Rechner wieder zu entsperren.

Ein generelles Allheilmittel gegen Computerkriminalität gibt es nicht. Auf jeden Fall sollte man auf jede Mail, die irgendetwas mit Bankdaten oder Zahlungen zu tun hat, erst einmal mit Skepsis reagieren und im Zweifelsfall den vermeintlichen Absender direkt kontaktieren und rückfragen – am besten telefonisch, und wenn es doch per Mail sein muss, dann aber bitte nur ja nicht durch ein „Reply“ oder über die in der jeweiligen Mail aufgeführten Adresse, sondern mit einer neuen, von Anfang an per Hand erstellten Mail.

Dass ein immer aktuell gehaltener Virenschutz auf jeden PC, aber auch jedes Tablet und jedes Smartphone gehört, steht ohnehin außer Frage. Sollte es dennoch zu einer Infektion des Computers kommen,  empfiehlt es sich, auf einem anderen, nicht infizierten Rechner eine Rettungs-CD zu erstellen, von der man dann den eigenen PC bootet – so können auch Viren und andere Schädlinge, die sich tief im Betriebssystem verstecken, aufgestöbert und, wenn man Glück hat, auch eliminiert werden.

Ein kostenloses Image zur Erstellung einer solchen Rettungs-CD bietet beispielsweise der Anti-Viren-Spezialist Avira auf seiner Webseite zum Download an, und auch AVG und F-Secure stellen kostenlose Rescue CDs zur Verfügung.

http://www.avira.com/de/download/product/avira-rescue-system

http://www.avg.com/de-de/download.prd-arl

http://www.f-secure.com/en/web/labs_global/removal-tools/-/carousel/view/142

 

 

 

Finger weg von IBAN-Rechnern!

Test: Kein einziger Online-Rechner arbeitet fehlerfrei

Bankleitzahl und Kontonummer haben ausgedient, am 1. Februar tritt die „Single Euro Payment Area“, kurz SEPA, in Kraft – in allen Ländern, in denen der Euro das offizielle Zahlungsmittel ist, können ab diesem Moment sämtliche Zahlungsanweisungen nur noch über die neuen Codes IBAN und BIC durchgeführt werden. Im grenzüberschreitenden Zahlungsverkehr ist dies zwar ohnehin schon seit einigen Jahren üblich, doch jetzt gilt dies auch für Überweisungen innerhalb von Österreich! Deshalb heisst es, innerhalb der nächsten Tage dringend von allen Geschäftspartnern, aber auch von der Oma beziehungsweise den Enkelkindern, die neuen Bankdaten zu erfragen.

 

IBAN

Eigentlich sollte sich die Bankleitzahl im IBAN wiederfinden – dies ist aber nicht immer der Fall, was jeden Online-Rechner zum Scheitern bringt. (c) 2014 Uwe Fischer

Dabei ist es wichtig, sich die korrekten Daten auch persönlich bestätigen zu lassen. Im Internet kursieren zahlreiche Tools, mit deren Hilfe man die klassischen Bankdaten automatisch in das neue Format umrechnen lassen kann, doch sollte man davon unbedingt die Finger lassen! Die Online-Rechner basieren allesamt auf einer Standard-Formel, die zwar in den meisten Fällen das richtige Ergebnis liefert, aber eben nur in den meisten. Vor allem bei Bankkonten, die schon seit mehreren Jahren existieren, ist die Gefahr groß, dass der Rechner ein falsches Ergebnis ausspuckt.

Wir haben ein mehr als ein Dutzend IBAN-Rechner im Netz mit einer Kontonummer gefüttert, die ursprünglich von der „Credit Anstalt“ vergeben worden war – durch die Fusion mit der Länderbank, der Gründung der Bank Austria und schließlich deren Einverleibung in die Unicredit Group, passt die zugehörige Bankleitzahl nicht mehr in das offizielle Umrechnungsschema, sodass im Test kein einziger (!) Online-Rechner den richtigen IBAN ausspuckte. Selbst die Tools, die auf den Webseiten der heimischen Banken deren Kunden zur Verfügung gestellt werden, waren nicht imstande, den korrekten IBAN samt der zugehörigen BIC zu errechnen.    

Einige Banken warnen deshalb auch selbst vor der Verwendung solcher Umrechnungshilfen, denn die Eingabe falscher Codes kann bei einer Überweisung ziemlich teuer werden. Denn die Zahlen, die die Online-Rechner ausgeben, sind formal korrekte Kontodaten, nur dass sie eben nicht zu dem gewünschten Konto gehören. Wer nicht regelmäßig seine Kontoauszüge kontrolliert, merkt unter Umständen erst nach mehreren Wochen, wenn die erste Mahnung eintrudelt, dass eine Zahlung nicht durchgeführt werden konnte.

Schon in zwei Jahren droh übrigens die nächste Umstellung – dann wird nur noch der IBAN allein, ohne den jetzt noch zugehörigen Banken-Identifikationscode BIC, für den grenzüberschreitenden Zahlungsverkehr in der Euro-Zone benötigt. Bei Zahlungen innerhalb Österreichs ist – zumindest theoretisch – schon ab 1. Februar des heurigen Jahres die Angabe des BIC nicht mehr notwendig.

Für Firmenkunden bieten die meisten Banken übrigens einen eigenen Konvertierungsservice von Kontodaten an – im Gegensatz zu den Online-Rechnern ist hier dafür gesorgt, dass der Benutzer auch wirklich die korrekten Bankdaten seiner Geschäftspartner erhält.

 

Eine gute Anlaufstelle für alle Fragen rund um SEPA, BIC und IBAN ist die Studiengesellschaft für Zusammenarbeit im Zahlungsverkehr GmbH, kurz STUZZA, eine Kooperationsplattform der größten heimischen Geldinstitute und der Nationalbank. Hier findet man unter anderem auch ein Tool, das aus IBAN und BIC einen QR-Code erstellt. Druckt man diesen Code auf eine Rechnung, braucht der Empfänger diesen Code nur mit seinem Handy einzuscannen und erhält automatisch die richtigen Bankdaten, die er dann beispielsweise in eine Mobile Banking App übernehmen kann.

 

www.stuzza.at

Sicherheit ab dem ersten Tag

IT-Ausbildung mit Schwerpunkt Security

Es sind nicht die Hacker, die Sicherheitslücken in Programmen und Betriebssystemen schaffen – die Schwachstellen sind von Anfang an vorhanden, die Hacker stöbern sie lediglich auf. Was sie dann mit ihren Entdeckungen weiter anstellen, ist eine Frage der Moral: Die einen nutzen die Lücken, um Daten zu stehlen, zu zerstören, oder für ihre eigenen Zwecke zu manipulieren, die anderen wiederum stellen ihr Know How der Industrie zur Verfügung, damit diese imstande ist, die Löcher in ihrer Software so rasch wie möglich zu stopfen. Letztere sind auf dem Arbeitsmarkt angesichts der rapide ansteigenden Zahl von Cyberattacken immer stärker gefragt.

Johann Haag, Studiengangsleiter und Vizerektor der FH St. Pölten (links) und Markus Robin, General Manager bei SEC Consult

Johann Haag, Studiengangsleiter und Vizerektor der FH St. Pölten (links) und Markus Robin, General Manager bei SEC Consult

Markus Robin, General Manager bei dem auf Security-Fragen spezialisierten IT-Beratungsunternehmen SEC Consult, vergleicht den Aufbau einer Unternehmens-IT gerne mit einem Hausbau. Der Bauherr kann darauf vertrauen, dass die Statik, die Installation von Strom, Wasser und Gas, aber auch die Montage von Türen und Fensternden aktuellen Sicherheitsstandards entsprechen, und er muss nicht zittern, dass ihm bei der nächsten kleinen Erschütterung das Dach über dem Kopf zusammenbricht, oder die Tür aus dem Rahmen fällt. Anders sieht es in der IT aus: Hier steht die Funktionalität im Vordergrund, über die Sicherheit macht man sich erst im Nachhinein Gedanken – man lässt quasi einen Künstler das Haus bauen, und errichtet, wenn bereits alles fertig ist, Stützmauern, damit das ganze Bauwerk nicht einstürzt.

Um diesen Missstand zu beheben, wurden an der Fachhochschule St. Pölten der neue Bachelor-Studiengang „IT Security“ und der Master-Studiengang „Information Security“ ins Leben gerufen. Den Studierenden wird dabei vom ersten Tag an der Security-Gedanke eingebläut. Beim Abschluss der Lehrgänge soll das Achten auf die Sicherheit den Absolventen in Fleisch und Blut übergangen sein, sodass sie später im Berufsleben sowohl beim Aufbau eines Netzwerkes, wie auch bei der Programmierung oder Anpassung einer Software vom ersten Tag des Projektes an auf potenzielle Schwachstellen oder Angriffspunkte achten und diese noch vor der Inbetriebnahme eliminieren können, schildert Johann Haag, Studiengangsleiter und Vizerektor der FH St. Pölten.

Um eine möglichst praxisnahe Ausbildung zu erreichen, arbeitet die Fachhochschule eng mit Partnern aus der Wirtschaft, wie beispielsweise der SEC Consult, zusammen. Das Unternehmen bietet im Rahmen der SEC Academy selbst Kurzlehrgänge an, in denen die Security-Experten ihr Know-How an die IT-Mitarbeiter anderer Unternehmen weitergeben. Auch hier sollen die Teilnehmer nicht nur einschlägiges Wissen rund um Risiken und Schwachstellen in der IT aufbauen, sondern ein Bewusstsein für den Schutz und die Sicherheit des eigenen Unternehmens entwickeln.

www.sec-consult.com

www.fhstp.ac.at