Mein letzter Beitrag über Sicherheitsprobleme bei Microsoft ist grad mal eine Woche her, und da findet sich schon wieder Interessantes im Netz:
Ein bei Azure gehosteter interner Server von Microsoft war für das gesamte Internet sichtbar und durch keinerlei Kennworte gesichert. Was drauf war? „The whole 9 yards“: Kennungen und Passworte von Microsoft Mitarbeitern, Administratoren und mehr. Codeschnipsel, interne Dokumente, Konfigurationsdateien…
Und der wirkliche Skandal: Microsoft wurde am 6. Februar darauf hingewiesen, und dann hat es noch fast einen ganzen Monat gedauert, bis das gefixt war – solange standen die Daten zur gefälligen Selbstbedienung offen herum.
Ein ganzer Monat, 30 Tage! Wie geht sowas? Wenn mich jemand darauf hinweisen würde, dass einer unserer Kundenserver offen im Netz steht – dann wäre aber Alarm unter dem Dach in der IT und spätestens 30 MINUTEN nach Bekanntwerden wäre das Ding aus dem Netz verschwunden. Wie kann eine Firma 30 Tage brauchen, um den Ausschalter zu finden?
Muss das erst als Akte durch alle Abteilungen im Haus laufen? Wissen die nicht, wer welche Server betreut? Sagenhaft.
Gerade gestern mal wieder ein längeres Gespräch geführt über den besten Virenschutz, den man sich auf dem Mac installieren sollte. Und das ist immer noch der, den man zwischen den Ohren mit sich rumträgt.
Aktuell gibt es grad eine nervige Welle, die auch das aktuellste und beste Virenschutzprogramm nicht verhindert:
Jemand schafft es, mit ausgespähter AppleID und etwas social engineering die Telefonnummer herauszufinden, die zu dieser AppleID gehört. Damit wird der Versuche einer Kennwort-Rücksetzung gestartet: Eine Meldung taucht auf allen mit der AppleID verbundenen Geräten auf, dass das Passwort geändert werden soll. Dieses Nachfrage IMMER ablehnen, auch wenn sie mehrfach hintereinander kommt. Erlaubt man sie, weil man von der Menge der Nachfragen genervt ist, dann kommt auf alle Geräte eine Einmal-PIN. Bis hierhin ist noch nichts passiert, man kann immer noch abbrechen. Festlich wird es dann, wenn per Telefon jemand versucht, diese PIN abzufragen und sich dazu z.B. als Apple oder als Polizei ausgibt. Auflegen ist hier die beste Medizin.
Man kann sich das ganz einfach merken: der Apple-Support ruft NIE jemanden einfach so an!
Das Ganze gilt natürlich nur dann, wenn Sie nicht grad selbst das Kennwort ändern wollen.
Apple hat mit iOS 17.3. eine Sicherheits-Schwachstelle beseitigt, die zur kompletten Übernahme der AppleID durch Fremde führen konnte. Da haben wir schon eine Anleitung zur Absicherung geschrieben („Sicherheitshinweis“, hier zu finden.) Im Lichte des Updates haben wir unseren Beitrag überarbeitet und geben Ihnen im folgenden eine step-by-step Anleitung, wie Sie unter iiOS 17.3 das iPhone richtig absichern, ohne dass die einfache Bedienung darunter leidet.
Szenario:
Das Opfer wird beim Entsperren des iPhones beobachtet oder heimlich ein Video gemacht. Das Telefon wird dem Opfer entwendet. Der Böse meldet sich mit der beobachteten oder gefilmten PIN sofort an, ruft die iCloud-Einstellungen auf und muss dazu die ausspionierte PIN eingeben. Dann kann er das Kennwort für iCloud durch ein neues ersetzen, ohne das alte Kennwort zu kennen! Es erfolgt keine Zwei-Faktor-Abfrage oder die Nutzung eines Sicherheitsschlüssels. Anschließend werden alle im Account befindlichen Geräte gesperrt, damit der rechtmäßige User ausgeschlossen wird. Danach erfolgt die „Ernte“. Der Angreifer startet Banking-Apps und testet die mit der Anmelde-PIN. Klappt das, macht er eine Überweisung. Das Sicherheitsverfahren ist dann meist eine Push-TAN, und die Push-TAN-App ist gesichert mit welcher PIN? Sicherheitshalber kann er in der Passwort-Datei von iOS nachsehen – die ist auch nur mit der Geräte-PIN gesichert.
Wie schützen Sie sich am besten gegen so einen Fall?
Wir haben unsere bisherige Empfehlung „Sicherheitshinweise“ mit den neuen Features unter iOS 17.3 erweitert und geben einen „Step-by-Step“ Anleitung, wie man sein digitales Leben sicher sichert…
Zum Jahresanfang klappen die üblichen Vorsätze („Mehr Sport“, „Abnehmen“, „nie wieder Alkohol“, „nett und ausgeglichen sein“) sowieso nicht. Da kann man sich gleich auf einen sinnvollen beschränken: Guter Vorsatz in 2024 – Sicherheit auf dem Mac.
Da könnte man jetzt ja den Weg des geringsten Widerstandes nehmen, installiert sich einen Virenschutz und lehnt sich dann entspannt zurück. Kann man machen, ist aber nicht die beste Lösung.
Erstens: Das ist wie mit dem Fahrradhelm: Angeblich sollen Menschen mit Fahrradhelm risikobereiter Fahrrad fahren als solche ohne Helm. Übertragen auf den Virenschutz: Wer einen installiert hat, neigt dazu, das Hirn ein wenig abzuschalten, was solche Bedrohungen angeht: „Ich klick mal auf diesen Anhang, ich hab ja einen Virenschutz!“
Was, zweitens, ein Grober Fehler® ist: Virenschutzprogamme sind immer nur für bekannte Bedrohungen aus der Vergangenheit erfolgreich. Neue Virusvarianten müssen dem Programm erst durch ein Update bekannt gemacht werden, und das kann dauern. Und leider bremsen die meisten Virenschutzprogramme den Rechner stark aus.
Noch ein Tip für Safari. Unser letzter Tip waren die anpinnbaren TABS, einen haben wir noch, der das Leben einfacher macht, wenn man zum Beispiel zwei Accounts bei einem Anbieter hat und pflegen möchte.
Das ist immer dann problematisch, weil die Anmeldedaten für unterschiedliche Accounts in den Cookies gespeichert werden, und wenn man z.B. in Google sein privates Konto und das geschäftliche Konto gleichzeitig ansehen/bearbeiten möchte, dann klappt das bisher nicht: Es werden nur die Anmeldedaten für die zuletzt getätigte Anmeldung gespeichert.
Abhilfe ging nur, in dem man einen anderen Browser für das zweite Konto genutzt hat – jetzt geht es besser über die Profile in Safari. Hat man die eingerichtet, taucht im Browserfenster oben links ein neues Aufklappmenü auf:
Nach Einrichtung und Aufruf einer neuen Seite kann man über das Aufklappmenü das gewünschte Profil wählen. Innerhalb eines Profiles werden alle Cookies, Daten, etc. gespeichert, getrennt von allen anderen Profilen. Damit ist ein Szenario wie oben beschrieben locker handhabbar. Interessant ist das auch für Webseiten-Entwickler, die öfter mal das Problem haben, sich mit verschiedenen Berechtigungen an ein- und derselben Webseite anzumelden.
Wie einrichten?
Einfach – ist ja von Apple :-). Funktioniert ab System Ventura, 13.x
Safari starten
Safari Einstellungen aufrufen
Reiter Profile aufrufen
Da gibt es immer schon das Profil „Persönlich (Standard) Dem kann man, wenn man denn will, einen neuen Namen, ein kleines Icon und eine Farbe verpassen.
Mit dem „+“ legt man eines oder mehrere Profile an, auch hier kann man Namen, Icon und Farbe wählen und auch noch auswählen, welche Lesezeichen dann gelten („Favoriten“ ist vorausgewählt, man kann aber einen Unterordner aus den Favoriten auswählen.
Ebenfalls einstellbar ist, mit welchen URLs neue Fenster oder TABs geöffnet werden sollen.
Nach der Einrichtung taucht dann das oben abgebildete Aufklappmenü im Fenster auf, und ab sofort kann man für jedes Fenster/jeden TAB ein Profil auswählen und darin arbeiten, getrennt von den anderen Profilen.
Wer bestimmte Seiten eigentlich immer braucht, der kann diese Seiten „anpinnen“, so daß die bei jedem neu geöffneten Fenster sofort verfügbar sind – und wenig Platz wegnehmen. Geht ganz einfach, muss man nur erstmal drauf kommen:
In Safari auf das Menü „Darstellung“ gehen, dort „Tableiste immer einblenden“
Neue Seite mit dem Befehl „Ablage“->“Neuer Tab“ als Tab anlegen (oder Befehl-T)
In diesem Tab die gewünschte Seite aufrufen
Mit der Maus den Tab oben greifen und ganz nach links schieben.
Auf dem Weg nach links schrumpft irgendwann die Tableiste auf das FaviCon (das kleine Icon der Webseite) zusammen.
Loslassen, und ab jetzt ist diese Webseite immer bei „Neues Fenster“ in dem kleinen Tab links mit dabei.
Rausnehmen geht genau so: Tab nehmen, nach rechts schieben.
Da nich für!
NACHTRAG: Wenn man einen Webseite in einem der angepinnten Tabs angezeigt hat und wählt eine andere URL, dann öffnet Safari automatisch einen neuen Tab, heißt: Im angepinnten Tab ist immer die angepinnte Webseite.
