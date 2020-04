Wohl noch nie hat ein Internet-Dienst so einen Boom erfahren wie derzeit Video-Konferenzen. Ist quasi ein Stresstest für Firmen wie Zoom. Und den Stresstest besteht Zoom ganz offensichtlich nicht. Jetzt sind wieder über eine halbe Million Zugangsdatensätze von Zoom im Darknet angeboten worden, Namen, Passwörter Mail-Adressen und Etliches mehr. Gegenüber heise.de hat die Firma erklärt, es seien wohl wirklich Zugangsdaten durch Credential Stuffing ausgeforscht worden. Das heißt: Gauner haben auf dem Schwarzmarkt irgendwelche Zugangsdatensätze gekauft, zu Yahoo, Tumblr und Dropbox vielleicht, und dann ausprobiert, ob User-Name und Passwort auch bei Zoom funktionieren. Sowas lassen Unternehmen ihre Pressesprecher gerne sagen, weil: dann sind ja die Anderen schuld, andere Cloud-Dienstleister, weil sie sich haben hacken lassen, und die Nutzer, weil sie Passwörter mehrfach benutzen.

Aber es stimmt schon: Bei der Schlamperei, die im Cyberspace herrscht, wo Passwörter millionenfach einfach so mal wegkommen, darf man sie nicht mehrfach verwenden. Man braucht viele. Kann man sich aber nicht merken. Und deshalb geht’s nicht ohne Passwort-Manager. KeePass ist einer, den man sich aus quelloffenen Modulen zusammenstellen kann, wie man’s braucht.

Und was die Videokonferenzen anbelangt, da hat das BSI, das Bundesamt für Sicherheit in der Informationstechnik, mal zusammengeschrieben, wie man die sicher einrichtet: Ist was für Firmen.

Patchday – oder die große Flickschusterei

S’Übliche: Viele Dutzend Sicherheitslöcher haben Adobe und Microsoft wieder gestopft. Oracle – hat man als Privatanwender eher nicht auf dem Schirm. Aber Oracle gehört Java. Das hat man meistens auf dem Computer, ob man’s weiß oder nicht. Und auch da sind Löcher abgedichtet worden. Der Thunderbird – ein klasse Mail-Programm – das war ebenfalls undicht. 68.7 ist die Nummer der abgedichteten, aktuellen Version. Sollte man mal nachschauen, ob man die hat, weil: es waren diesmal wirklich gefährliche Sicherheitslücken. Es widerstrebt einem ja, aber man überlässt es mittlerweile tunlichst der Software selbst, sich auf den aktuellen Stand zu bringen. Mit manuell eingespielten Updates kommt man einfach nicht mehr hinterher.

Ja, und in Hardware werden auch immer mehr Sicherheitslöcher entdeckt. Die kann man nicht stopfen. Bestenfalls kann man dafür sorgen, dass nichts reinfällt in so ein Sicherheitsloch. Das geschieht meist mit Firmware. Und dafür gibt’s von seriösen Anbietern auch immer mehr Updates. Diese Woche für Intel’s NUCs. Das sind so Mini-Rechner, die soviel bringen wie früher ein Tower-PC. Hier steht, welche neue Firmware man ihnen geben muss.

Und noch’n Update

... kommt nächsten Monat, da sollen iPhones und Android-Handys eine eigene Programmierschnittstelle für Corona-Tracking-Apps bekommen, also für von staatlichen Stellen herausgegebene Apps zur Gesundheitsvorsorge. Ist an sich gut, für solch sensible Anwendungen eine eigene Schnittstelle einzurichten. Aber was macht man, wenn man ein altes Smartphone hat, für das es keine Updates mehr gibt. Braucht man dann ein neues Handy oder besser einen guten Arzt?

