„Ungewollter Informationsabfluss“ bei KMUs #

Ö1 Digital Leben hat über das Geschäftsmodell Wirtschaftsspionage berichtet, das mittelständischen Unternehmen am meisten schadet. Was mir bislang nicht klar war, ist die Bewertung und Einordnung von privater oder staatlicher Wirtschaftsspionage in den Rechtskodex anderer Staaten. Dazu befragt, antwortete Walter Karl, Sicherheitsexperte bei IBM:

Wenn sie sich die Frage stellen, wieviele Länder sehen Wirtschaftsspionage als Straftat, weltweit, dann sind es 3 Stück. Das ist Deutschland, Österreich und Schweiz. Und in jedem anderen Land ist es teilweise so, dass Wirtschaftsspionage als „Wirtschaftsunterstützung“ bewertet wird, das heißt, dass sogar die Firmen animiert werden, Regierungsstellen zu nutzen, sich Daten beschaffen zu lassen, die ihnen helfen, in der Wirtschaft konkurrenzfähig zu bleiben. Das heißt auch Datenklau, Datenspionage, Wirtschaftsspionage zu betreiben.

Toll, wenn ich vom IT-Betreuer einer Firma dann zu hören bekomme, dass ich mit meinen (automatisch generierten, nie außer im Passwort-Manager gespeicherten) mehr-als-zwanzigstelligen Passwörtern nicht „so übertreiben soll“, weil „wen interessieren diese Daten schon?“ #

Warum Passwörter immer leichter zu knacken sind #

Ein herrlich informativer, schrecklich beängstigender und den Glauben an selbst ausgedachte (aber dennoch „gute“) Passwörter auf ein Minimum reduzierender Artikel auf ars technica: Why passwords have never been weaker – and crackers have never been stronger.

Der detaillierte Artikel zusammengefasst: Je öfter Hacker durch Datenlecks und nicht genügend gesicherte Speichersysteme an tatsächlich verwendete Passwörter rankommen, desto besser werden die Algorithmen, um noch unbekannte Passwörter knacken zu können.

Der vielleicht wichtigste Hinweis im ganzen Artikel:

The most important attribute of any passcode is that it be unique to each site. (…) It’s also important that a password not already be a part of the corpus of the hundreds of millions of codes already compiled in crackers‘ word lists, that it be randomly generated by a computer, and that it have a minimum of nine characters to make brute-force cracks infeasible. Since it’s not uncommon for people to have dozens of accounts these days, the easiest way to put this advice into practice is to use program such as 1Password or PasswordSafe. Both apps allow users to create long, randomly generated passwords and to store them securely in a cryptographically protected file that’s unlocked with a single master password. Using a password manager to change passcodes regularly is also essential. #

iPhone „Daten löschen“ bringt nichts #

Es macht keinen Sinn, seinen sicheren Passcode auf iPhone oder iPad gegen einen einfachen (zB: eine 4-stellige PIN) auszutauschen, dafür aber die Option „Daten löschen“ zu aktivieren, denn diese Option ist bei einem realen Angriff irrelevant:

The attack of the sort used by XRY gets beneath the software that would keep that count of attempts, so „Erase after N failed attempts“ does not protect against this kind of attack.

You are absolutely correct that if you do set „Erase after N failed attempts“ someone could maliciously or accidentally destroy the data on your phone.

Die im Zitat erwähnte Software „XRY“ ist allerdings nicht ganz so „erfolgreich“ wie hier suggeriert wird. #