Wir sind entweder inzwischen komplett abgestumpft oder es ist uns einfach sch…egal, was mit unseren Daten passiert. Das ist das Bild, was sich mir nach den letzten Ereignissen in Sachen Sicherheit bietet.
Was ist passiert?
Microsofts Sicherheitssupergau ist passiert. Microsoft hatte vor einiger Zeit stolz gemeldet, sie hätten die Angriffsversuche chinesischer Hacker auf ihre Infrastruktur abgewehrt. Die Gruppe „heise security“ hat sich das mal etwas genauer angesehen. Tatsache ist:
Irgend jemand hat Microsoft den elektronischen Hauptschlüssel für fast alles in der Cloud entwendet. Und Hauptschlüssel heißt hier „Hauptschlüssel“, und „fast alles“ heißt fast alles. Zugang zu allen Onlinediensten, Speichern, OneDrive, Teams, Outlook – alles Alles.
Reaktion von Microsoft zu diesem Thema? „Ruhig bleiben, wir haben alles im Griff!“
heise security sieht das etwas anders:
Microsoft hatte sich einen Master-Key klauen lassen, der den Angreifern wochenlang Zugriff auf fast alle Daten all ihrer Cloud-Kunden ermöglichte. Ein gestohlener Master-Key ist eigentlich schon der GAU für einen Cloud-Anbieter. Doch es war noch viel schlimmer: Der Schlüssel hätte gar nicht funktionieren dürfen; Microsofts Schloss war also auch noch kaputt. Das kommt einer Bankrotterklärung der hochgelobten Cloud-Security gleich.
Mit dem Umbau auf die neuen Apple-Chips M1/M2 sind die MacBook Air so leistungsfähig geworden, dass bei immer mehr unserer Kunden die Frage laut wird, ob man nicht mehrere Monitore am MacBook Air M1/M2 betreiben kann – neben dem erlaubten einen.
Apple sagt nein
Apple gibt in den Leistungsdaten genau einen erlaubten Monitor an, und auch, wenn man über ein Dock z.B. mehrere Monitore physikalisch anschließt, dann wird nur einer davon bedient.
Abhilfe
Für (fast) jedes technische Problem bastelt jemand eine Lösung, und auch hier gibt es eine. Man installiert eine Software, die zwei weitere Bildschirme auf den verfügbaren Grafikkernen simuliert und die Daten dazu über USB-C an ein spezielles Dock schickt, die diese gemischten Signale auseinanderbastelt und auf DisplayPort/HDMI schickt. Nachteil: Man muss einen Treiber installieren, und da kann es sein, dass nach Apple Systemupdates das Ganze plötzlich nicht mehr funktioniert.
Ein kleiner Hinweis zu unserem Artikel FIDO2 und Passkeys…: Die Sourcecode-Verwaltung GitHub (www.github.com) erlaubt jetzt auch die Nutzung von Passkeys zum Einloggen!
Version 164 vom 27.06.2023 – Lexoffice 2 / Zeiterfassung
Zeiterfassung/Ticketsystem: Unsere einfache Anbindung an Lexoffice aus Version 162 funktioniert gut, und wenn etwas gut funktioniert, kommen Wünsche auf: Voila, in Version 164 ist für alle Anwender mit der gekauften “Büro”- Version eine komplette, sehr einfache Zeiterfassung mit integriertem Ticketsystem enthalten. Abgerechnet werden diese Zeiten dann in der Übergabe an Lexoffice.
Mit der Berücksichtigung von SLA (Service Level Agreements) für bestimmte Kunden, damit sind unterschiedliche Stundensätze realisiert.
Die mit der Version 160 eingeführte Funktion der Favoriten-Mappe haben wir noch einmal ausgebaut. Es gibt nach wie vor die Mappe „Favoriten“. Wenn eine Mappe so genannt wird, dann wird Sie über die neue Schaltfläche (ganzrechts) aufgerufen.
Ganz neu ist jetzt, dass jede(r) User(in) sich eigene Favoritenmappen anlegen kann. Der Klick auf den Favoriten-Knopf öffnet jetzt eine Auswahl, und ein weiterer Klick die gewünschte Mappe.
Der Textbaustein-Editor und die Ersetzung kennen jetzt eine neue Variable: „user“ setzt den angemeldeten User in den Text ein.
Bei der Eingabe von Textbausteinen kann jetzt direkt der Textbausteineditor aufgerufen werden. Ein manuell verfasster Text kann so direkt als Textbaustein angelegt werden.
Administration: Das Anlegen und Bearbeiten von Usern wurde verbessert. User lassen sich beim Bearbeiten nach Mandanten filtern.
Einige lose Gedanken zu Apples „One more thing“ von der WWDC.
Ohne den ausgeleierten Spruch eines deutschen Politikers von den Visonen und dem Arzt zu bemühen: Das, was da passiert ist, ist tatsächlich die Vision von Apple für die „Zeit nach dem iPhone“.
Szenarien
Apple hat sich bei der Präsentation auf einige Bereich konzentriert:
⁃ Virtuelles Arbeiten mit endlos großer Arbeitsfläche: Hier werden durch die einfache Anpassung der iOS – Apps in kurzer Zeit viele Anwendungen bereit stehen. Das Ganze funktioniert aber nur mit einem vernünftigen Bedienkonzept, und das scheint Apple gut hingekriegt zu haben: Blickt man auf eine Programmsymbol, einen Button oder einen Link, dann wird der erkennbar hervorgehoben, und dann drückt man Zeigefinger und Daumen zusammen – egal, wo sich die Hände grad befinden. Dinge vergrößern und umplatzieren – alles so eingängig, dass ausnahmslos alle Tester sich in wenigen Sekunden zu Haus gefühlt haben. Interessant gemacht auch die Interaktion mit anderen Personen: nähert sich eine dem Brille tragenden, dann wird per Software ein „Loch“ in die virtuelle Welt geschnitten, die Person wird dem User eingeblendet.
⁃ Mittendrin beim Sport: Apple hat zwei Clips gezeigt, mit speziellen Kameras bei Sportveranstaltungen gedreht, und da war die Aussage eines Testers: „Allein deswegen würde er sich sofort eine Vision Pro kaufen“. Dazu passt, dass Apple sich grad die Rechte an einer amerikanischen Sportliga gesichert hat, wohl nicht ganz ohne Hintergedanken.
⁃ 3D Filme: In der Demo waren zwei Minuten von „Avatar: The way of water“ gezeigt, und auch hier durch die Bank Begeisterung. Vergleiche mit dem besten Erlebnis in 3D Kinos waren da durchaus sehr unvorteilhaft für das Kino.
⁃ Eigene 3D-Videos und Fotos: Bei der Keynote war das der Punkt, wo ich so bei mir dachte: Etwas traurig. Ein Kindergeburtstag, und der Vater mittendrin mit der Brille auf und macht damit Fotos und Videos. Apple zeigt ja aussen auf der Brille eine Projektion der Augen des Trägers, um keine so große Abschottung aufkommen zu lassen. Das war sicherlich eine der gewünschten Aussagen, wirkte aber doch etwas traurig, der isolierte HighTech-Papa inmitten seiner lebendigen Kinder. Allerdings: Das Ergebnis muss so eindrucksvoll sein, dass durch die Bank alle Tester schwer begeistert waren, Kernaussage: So würden sie sich die Speicherung von wichtigen Erlebnissen vorstellen, das wäre quasi die Konservierung von Lebensmomenten.
⁃ Dinosaurier streicheln und Schmetterlinge: Das war das Paradebeispiel für AR, also die um digitale Artefakte angereicherte Wirklichkeit. Den Testraum betrat durch ein „Portal“ ein animierter Dinosaurier. Die Tester wurden aufgefordert, aufzustehen von der Couch und sich dem Tier zu nähern und zu streicheln. Vor der Couch stand ein Couchtisch, und niemand ist darüber gestolpert – Apple hat die Mischung von realer Welt und und fiktionaler perfekt hinbekommen. Einzelne Tester hatten das deutliche Gefühl, die hätten den Dinosaurier tatsächlich berührt. Ein animierter Schmetterling läßt sich auf der Hand des Testers nieder…
Ausblicke
Diese Positionierung von Seiten Apple ist ein buntes Allerlei, von jedem etwas für jeden dabei. So ganz klar ist Apple wohl auch hierbei nicht, in welche Richtung sich das entwickeln wird – ein wenig wie bei der Watch, die erst als Livestyle-Element beworben wurde (ich sage nur „massiv Gold“ für 15.000€), und die sich seitdem rasant zum Gesundheitsbegleiter und Fitnessmotivator entwickelt.
Jetzt kommt es wirklich drauf an, was Entwickler mit dem neuen Werkzeug machen. Ein Pfund dafür ist auch die laut Meinung diverser Entwickler sehr einfache Anpassung der eigenen iOS – Apps an das neue visionOS.
Wird das was? Mit hoher Wahrscheinlichkeit – sage ich mal voraus.
Vor einigen Jahren hätte sich auch niemand vorstellen können, dass heute Massen von Menschen durch die Gegend laufen, den Blick halb gesenkt auf eine kleine, belebte Glasscheibe und komplett absorbiert davon.
Eine neue Wirklichkeit schickt sich an, wahr zu werden.
Allein in den letzten Tagen nach der WWDC habe ich schon eine Menge von unterschiedlichen Szenarien gelesen. Es gibt eine starke Fraktion, die den professionellen Aspekt hervorheben, mehr so in Richtung Hololens von Microsoft, die für Service und Wartung ein wichtiges Werkzeug werden kann.
Ein Techniker muss ein Windrad auf See warten, dazu wird er per Hubschrauber da oben abgesetzt, stülpt sich die Vision Pro über und ist per Funk mit der Einsatzzentrale verbunden, die ihm unter die Arme greift, mit virtuellen Farbmarkierungen über realen, zu bedienenden Schaltern.
Einer der vielen Punkte, die bei der Vorstellung auffielen war die hohe „virtuelle Festigkeit“, d.h. Objekte im virtuellen Raum stehen sehr stabil und ohne zu schwanken an ihrer Stelle.
Und dieser Strang läßt sich weiter denken: Warum in Krankenhäusern oder Rettungswagen nicht ein Spezialistenteam zur Ferndiagnose und ersten Maßnahmen dazuschalten?
Museen können ihre Ausstellungen zum Leben erwecken, warum nicht statt jetzt eingestöpselter Audio-Kommentare einfach eine animierte Geschichte rund um die Entstehung des Bildes?
Geschichtsunterricht wäre richtig packend: den amerikanischen Bürgerkrieg von beiden Seiten betrachten, Zahlen und Daten dazu zu bekommen?
Und die naheliegensten Branchen sind natürlich die Gestaltenden: Architekten können einen richtigen Rundgang im Haus machen, Landschaftsplaner laden in der Garten ein, bevor der erst Grashalm gesät ist.
Ich denke, das wir am 05. Juni 2023 tatsächlich so etwas wie einen iPhone-Moment erlebt haben. Die Vision Pro wird uns noch einige Überraschungen schenken.
Eine Welt ohne Passworte? Wäre das nicht wunderbar? Einfach auf allen Webseiten sich anmelden und nichts eingeben, weder Benutzernamen noch Kennwort? Und es sieht so aus, als würde das so werden. Dazu arbeiteten verschiedene große IT-Firma zusammen, unter dem Dach des sogenannten FIDO Konsortiums. (Links dazu weiter unten).
Das Problem mit den Kennworten ist groß und wird immer größer: Die Empfehlung von Sicherheitsforschern ist, für jede Webseite ein langes Kennwort und nach Möglichkeit auch gleich den Schutz durch einen zweiten Faktor einzurichten. Um das zu machen, muss man allerdings (fast) zwingend einen Passwort-Manager nutzen, es sei denn, Sie können sich 1000 unterschiedliche, komplizierte Kennworte merken – Glückwunsch. Das mit dem Passwort-Manager ist den meisten Menschen aber schon viel zu kompliziert, und entweder benutzen sie dann nur ein Kennwort für alles – GANZ GEFÄHRLICH oder nur wenige wieder benutzen Kennworte – auch gefährlich.
Wie soll das aber nun genau funktionieren mit der kennwortlosen Zukunft?
Die Idee dahinter ist die, dass mittlerweile fast jeder Mensch ein digitales Endgerät hat, was eine sogenannte biometrische Identifikation ermöglicht, also FaceTime oder Fingerabdrucksensor, Windows Hello oder tatsächlich einen festen Schlüssel wie den YubiKey. Damit ist der Mensch sicher und eindeutig identifiziert, und diese Voraussetzung ist die Basis für einen interessanten Ablauf zur Anmeldung an Webseiten.
Wie geht das genau?
1.) Sie richten sich einen Account auf einer neuen Webseite ein. Wenn die Webseite Passkeys unterstützt (es werden immer mehr) dann schickt Ihnen der Server ein Bündel an Informationen, z.B. auch die genaue URL – das wird bei Phishing wichtig mit sehr ähnlich aussehenden URLs.
2.) Mit diesen Informationen erzeugt Ihr Rechner/iPhone lokal ein Schlüsselpaar, einen zum Zuschließen (den öffentlichen Schlüssel) und einen zum Aufschließen (den privaten Schlüssel). Der öffentliche Schlüssel wird dann an die Webseite geschickt, die den abspeichert, der private Schlüssel verläßt Ihren Rechner NIE.
3.) Wenn Sie sich später auf dieser Webseite anmelden, dann fragt der Rechner/das iPhone, ob sie den gespeicherten Passkey nutzen wollen. Und hier kommt schon mal der Schutz vor Phishing ins Spiel: Dies Abfrage kommt NICHT, wenn die URL nicht exakt so ist wie bei der Anmeldung.
4.) Stimmen Sie zu, werden Sie aufgefordert, sich zu identifizieren: Per Facetime oder Fingerabdruck z.B.
5.) Die Webseite schickt Ihrem Gerät jetzt einen Code, verschlüsselt mit Ihrem öffentlichen Schlüssel.
6.) Ihr Gerät entschlüsselt diese Nachricht, wenn das klappt ist gesichert, dass der Code von der richtigen Webseite kommt.
7.) Ihr Gerät schickt eine Antwort, die es mit einer Signatur markiert, die mit dem privaten Schlüssel erstellt wird. Diese Signatur ist NICHT der private Schlüssel, das ist lediglich eine Art verschlüsseltes Etikett.
8.) Die Webseite prüft mit dem hinterlegten öffentlichen Schlüssel, ob das Etikett passt, wenn ja, sind sie drin – um mal einen bekannten Tennisspieler zu zitieren.
Passkeys können über verschiedene Geräte hinweg synchronisiert werden, am Export und Import wird grad noch gearbeitet. Und der oben geschilderte Ablauf ist aus Gründen der Verständlichkeit stark vereinfacht dargestellt.
Nachtrag
Nachtrag: Man kann alle diese Passkeys und Kennworte im Schlüsselbund auf dem Mac oder dem iPhone speichern, wir würden aber aus Gründen zu einem anderen Kennwortmanager raten. 1Password wäre da unsere Empfehlung, die Unterstützung für Passkeys angekündigt haben. Und das wollen sie am 6.06.2023 bekannt geben, was ja bekanntlich einen Tag nach der WWDC von Apple ist.
Und das ist etwas, was ich mir von Apple auf der WWDC erwarte: Eine noch mehr erweiterte Unterstützung für Passkeys, zum Beispiel auf der Seite für die AppleID. Und wenn sie – also Apple – schon mal dabei sind, dann könnten sie doch vielleicht auch gleich das Problem mit der viel zu einfachen Accountübernahme lösen. Dazu haben wir hier schon was geschrieben, auch, wie sie sich dagegen schützen k önnen.
1Password unterstützt jetzt mit einer Betaversion der Safari-Erweiterung Passkeys! Und das kann man schon mal z.B. bei Adobe anwenden. Der Anmeldedialog hat dann einen Link: „Mit Hauptschlüssel anmelden“.
