Ein ganz wesentlicher Bestandteil des Internets ist der Domain Name Service, kurz als DNS bezeichnet. DNS ist quasi die Telefonauskunft des Internets. Möchten Sie die neuesten Nachrichten über den Rücktritt von Herrn Kurz auf spiegel.de lesen, dann tippen Sie in Ihrem Browser www.spiegel.de ein. Ihr Browser geht mit dieser Information zu einem sogenannten DNS-Resolver und fragt den: „sag mal, wo finde ich denn im Moment den spiegel.de?“. Der DNS-Resolver würde dann zum jetzigen Zeitpunkt mit der IP-Adresse 128.65.210.8 antworten. Diese Adresse steuert der Browser dann an.
Die Antwort des DNS-Resolvers kann aber auch lapidar lauten „keine Ahnung“. Dann haben Sie sich entweder bei der Eingabe des Namens vertippt oder die Adresse kann im Moment nicht gefunden werde – siehe Facebook, Instagram, WhatsApp letzte Woche.
Das DNS-System datiert aus den Anfängen des Internets, und Datenschutz war da nicht so das Ding, heißt: Alle Abfragen gehen unverschlüsselt durch das Netz. „Der Anwender XYZ möchte spiegel.de besuchen“.
Benutzer der Fritzbox mit aktuellem Betriebssystem (zum Zeitpunkt des Artikels ist das 7.28) können das für alle Rechner im Heimnetz sicherer machen. Es gibt DNS-Resolver, die verschlüsselte Anfragen annehmen und bearbeiten. Die Fritzbox verschlüsselt dann die DNS-Anfragen, und der DNS-Server antwortet ebenfalls verschlüsselt. Kein Mensch kann ab sofort die Kommunikation mitlesen.
Um das in der Fritzbox einzurichten, brauchen wir die Auflösungsnamen der DNS-Server. Das findet man in der Regel bei den Anbietern dieser Server heraus.
Ein Besuch auf der Seite von Cloudflare gibt diese benötigten Informationen preis, die wir dann in der Fritzbox unter „Internet/DNS-Server“ eingeben:
1dot1dot1dot1.cloudflare-dns.com
one.one.one.one
Cloudflare ist ein großer Internet-Dienstleister, deren DNS – Server sind auch unverschlüsselt gut und sehr schnell zu nutzen. Die IP ist leicht zu merken: 1.1.1.1. Das tragen wir auf der Seite in der Fritzbox ein, und dann setzen wir noch einen Haken bei „DNS over TLS (DoT)“. Es öffnet sich ein Textfenster, und hier geben wir die beiden Auflösungsnamen ein, einen proZeile.
Das Ganze noch mit „Übernehmen“ bestätigen, und ab sofort belauscht niemand mehr, was sich ihr Haushalt so im Internet ansieht.
AirTags sind ja eigentlich entwickelt, um einem Verlust vorzubeugen. (Siehe unsere Artikel hier). Wie wäre es denn, so einen auch als Diebstahlsschutz zu verwenden? Schutz vor Diebstahl ja eher nicht, eigentlich nur, um es nach dem Diebstahl eines Fahrrades vielleicht wiederzubekommen. Erste Frage, die sich stellt: wo so einen AirTag möglichst unauffällig unterbringen? Instinktive erste Lösung: unter den Sattel kleben. Nicht so richtig gut: auf die Idee kommt jeder halbwegs pfiffige Dieb auch, und allein, wenn man das Rad anhebt, greift man da hin. Ins Rücklicht geht auch nicht, das ist zu klein und der AirTag zu groß und zu rund.
Hilfe bietet das Internet: die Suche nach „AirTags“ und „Fahrrad“ fördert Diverses zu Tage, unter anderem auch eine 3D-gedruckte Halterung, die unter einen Flaschenhalter geschraubt wird (siehe gelb markiert im Bild). Das ist recht unauffällig, und als zusätzliche Sicherung wird ein Satz Spezial-Schrauben mit passendem Bit mitgeliefert.
AirTag, gut verpackt
In Benutzung
Das Fahrrad steht bei Nichtbenutzung im Keller, und immer, wenn ich es nach einigen Stunden Stillstand da raushole und bewege, greift Apples Mechanik „ein fremder Airtag ist bei Dir“ – es macht leise, piepende Geräusche. Das passiert, wenn ich das iPhone NICHT dabei habe, die AppleWatch reicht nicht aus. Und das iPhone braucht eine Zeit, bis es den eigenen AirTag geortet hat. Lasse ich mit dem iPhone in der Tasche etwas Zeit verstreichen, bis ich das Fahrrad bewege, dann erkennt der AirTag, dass er zu diesem iPhone gehört und piept nicht. Nun nehme ich aber an, dass das Fahrrad eher nicht aus dem gut gesicherten Keller gestohlen wird, sondern in freier Wildbahn, also vor der Kneipe abgeschlossen, deswegen wird in diesen Fällen das Piepen nicht ertönen.
Jetzt hoffe ich mal, dass ich diesen Beitrag nie ergänzen muss, ob es denn geklappt hat oder nicht!
Da war man ja schon ein wenig neidisch, als es die neuen iMacs mit der Tastatur mit TouchID gab. Wer, wie der Autor, ein MacBook Air M1 nutzt und das zugeklappt an einem großen Monitor mit Maus und Tastatur betreibt, der ärgert sich ein wenig, dass TouchID in diesem Szenario nicht verfügbar ist. Etwas Linderung schafft die gekoppelte Apple Watch, die man ja auch so einrichten kann, dass sie mit zweimaligem Druck auf den seitlichen Knopf den Rechner oder Zugänge entsperrt.
Es gibt aber ja Menschen, die noch keine Apple Watch haben, und für alle gibt es jetzt Linderung: Seit einigen Tagen sind beide Tastaturen, also die kleine und auch die mit dem Zifferblock, mit TouchID verfügbar – in weiß.
Man muss sie einmalig mit Kabel an den Rechner anschließen, auf dem Mac mini z.B. dann zweimal schnell die Einschalttaste drücken, und ab dann ist die Tastatur mit dem Rechner sicher gekoppelt – auch ohne das Kabel.
Jetzt kann man Touch ID anlernen, und ab dann laufen Entsperrungen wesentlich einfacher!
So langsam fängt es an, wirklich zu nerven. Rufe ich eine Nachrichten-Webseite auf und fange an zu lesen, dann habe ich Mühe, dem Text zu folgen: der Text springt stückweise nach unten, je nachdem, wann denn endlich die penetrante Werbung geladen ist. Will ich das Ganze werbefrei sehen, kann ich überall gern ein Abo abschließen, für nur X.XX€ im Monat. Das auf einer Webseite, auf der ich einen Artikel im halben Jahr lese – nicht so richtig einzusehen. So lange es keine Möglichkeit gibt, pro Monat einen Obolus zu entrichten und dann auf allen Webseiten werbefrei zu lesen, so lange wird es Werbeblocker geben. Die jetzt verfügbaren sind immer pro Rechner/Tablett, müssen konfiguriert werden und manche Webseiten sperren einen dann komplett aus.
Wir haben jetzt mal das Experiment eines zentralen Werbeblockers ausprobiert. In der Mac & i 2/2021 ist ein Artikel, der beschreibt, wie man einen Raspberry Pi als zentrale Instanz im Heimnetz einrichtet. Der Kauf des Heftes und des Raspis dafür lohnt sich, die Einrichtung ist gut beschrieben und läßt sich in weniger als einer Stunde nachbauen. Man hat dann einen kleinen Kasten mit dem Raspi, der installierten Software pi-hole und einer Anleitung, wie man ihn ins Netzwerk einbindet.
Alle oder Ausgewählte
Bei der Einrichtung gibt es zwei Vorgehensweisen. Zu Beginn empfiehlt sich die vorsichtige Variante: in den Netzwerkeinstellungen eines Rechners die DNS-Einstellung auf die IP des Raspberrys verbiegen und dann beobachten. Die „Alles oder Nichts“ – Einstellung ist es dann, den DNS-Eintrag des Routers auf den Raspi umzubiegen.
Auswirkungen
Erstaunlich. Erstaunlich gut. Morgens sind es ca. 6% geblockter Anfragen in den letzten Stunden, am Abend dann bis zu 30%. Liegt daran, dass ja alle Anfragen aus dem Heimnetz über den Raspi laufen, und da sind halt viele Geräte drin, die nachts Updates suchen, Aktualisierungen laden und solche Dinge mehr. Über den Tag sind es eben Rechner und Tabletts, die Webseiten besuchen. Interessanter Nebeneffekt: wenn man sich mal in einer ruhigen Minute den Netzwerkverkehr ansieht, der z.B. so zwischen 3 und 4 Uhr gelaufen ist – spannend. Der intelligente Fernseher sucht eine Verbindung zu views.hersteller.com? Kann man mal auf die Blacklist tun und dann beobachten, ob einem was fehlt.
Fallstricke und deren Vermeidung
In jetzt über einer Woche Test gab es genau eine Webseite, die den Zugang wegen aktiviertem Adblocker verwehrt hat: bild.de. Alles andere funktioniert wunderbar. Wenn man so etwas hat, gibt es auch hier einen Trick: man legt sich eine zweite Netzwerkumgebung an, in dem man die aktuelle dupliziert. In der neuen Umgebung („mit Werbung“) läßt man alle Einstellungen, bis auf den DNS-Server. Da trägt man über das „+“ dann 1.1.1.1 ein. Das sind die schnellen DNS-Server von Cloudflare. Dieser DNS ist übrigens auf dem Raspi auch eingetragen, der wird genutzt, wenn es erlaubte URLs aufzulösen gilt.
Vor fast zwei Jahren haben wir Ihnen hier bereits einmal die Wichtigkeit einer guten Absicherung Ihrer Apple-ID erklärt.
Damals gab es bei Apple die „zweistufige Autorisierung“, bei der Sie ein weiteres Mittel zur Identifikation benötigt haben, also ausser Benutzernamen und Kennwort auch noch einen temporären Code. Dieser Code wurde von Apple an ein weiteres, mit Ihrem Account gekoppeltes Gerät geschickt. Dieses Gerät mussten sie jeweils vor der Versendung des Codes auswählen.
Der Vorteil dieses Verfahrens liegt auf der Hand: ein potentieller Angreifer muss nicht nur Benutzernamen und Passwort wissen, er muss auch Zugriff auf den „zweiten Faktor“ haben, also z.B. auf das iPhone.
Im Laufe der Jahre hat Apple das System verbessert und weiter in die Systeme verlagert. Seit OS X El Capitan und iOS 9.3 ist das neue Sicherheitssystem tief im System verankert und nennt sich jetzt „Zwei-Faktor-Autorisierung“.
Auch, wenn sie sehr ähnlich klingen: Die „zweistufige Autorisierung“ ist NICHT die „Zwei-Faktor-Autorisierung“.
Die neue „Zwei-Faktor-Autorisierung“ ist besser, weil Sie z.B. bei Zugriffsversuchen auf Ihre Apple-ID auf ALLEN vertrauenswürdigen Geräten eine Benachrichtigung bekommen, und mit dieser Benachrichtigung können Sie diesen Zugriff auch sofort ablehnen, wenn Sie ihn nicht selbst ausgelöst haben. Bei der Benachrichtigung wird Ihnen auch gleich der ungefähre Ort angezeigt, von wo der Zugriff erfolgte: Und wenn dann da ein merkwürdiges Land auftaucht, sollten Sie erstmal ablehnen.
Ein weiterer Vorteil des neuen Systems: Sie brauchen sich jetzt keinen Wiederherstellungscode auszudrucken und nutzen, wenn Sie das Passwort vergessen und die autorisierte Geräte verlegt haben. Zugriff auf Ihren Account bekommen Sie jetzt über den Apple-Support. Wie genau, sagt Apple aus Sicherheitsgründen nicht öffentlich.
Alles Gründe also, das neue System zu nutzen.
Wer es noch nicht nutzt, für den ist die Einrichtung ziemlich einfach:
Am besten starten Sie auf einem iPhone. Gehen Sie dort in die Einstellungen, dort dann in den Bereich „iCloud“. Sie müssen jetzt zwei der drei hinterlegten Sicherheitsfragen beantworten, dann können Sie loslegen.
Einmal tippen auf Ihren Namen im oberen Bereich öffnet das Blatt mit den Einstellungen für zugeordnete Geräte und Sicherheit.
Im Punkt Sicherheit können Sie dann mit der „Zwei-Faktor-Autorisierung“ starten.
Ist dieser Punkt nicht verfügbar, kann es zwei Gründe haben: Ein schwaches Kennwort oder weniger als drei Sicherheitsfragen. Das müssen Sie ändern, dann kann es weitergehen.
Eventuell erhalten Sie noch einen Hinweis, dass ältere Geräte, die mit Ihrem Account verbunden sind, diese neue Art der Autorisierung nicht können. Bei denen müssen Sie dann die 6-stellige PIN an das Kennwort anhängen.
Besser ist es aber, bei den Geräten aufzuräumen. Im Punkt Sicherheit/Geräte stehen alle Geräte, die jemals mit Ihrer Apple-ID verbunden waren und sind. Sie erkennen einige Geräte nicht (mehr)? Die können Sie alle ohne Probleme entfernen. Falls Sie ein noch genutztes Gerät entfernen, werden Sie bei der nächsten Benutzung nach dem Kennwort für die Apple-ID gefragt und das Gerät taucht nach erfolgreicher Autorisierung wieder in den Geräten auf.
Zurück zur Einrichtung: Der wichtigste Schritt ist es, dem System eine Mobilfunknummer zu geben, auf der Sie SMS erhalten können. Wenn Sie diese Einrichtung auf dem iPhone starten, geben Sie dessen Mobilfunknummer an. Sie erhalten dann eine SMS mit einem Bestätigungscode, den Sie eingeben. Auf dem iPhone trägt das System die PIN automatisch ein.
Ab sofort gilt Ihr iPhone als vertrauenswürdiges Gerät, das auch Bestätigungscodes empfangen kann.
Mit Hosenträger und Gürtel
Sie sollten jetzt, als zusätzliche Sicherung, eine weitere Telefonnummer hinterlegen. Das muss keine SMS-fähige Nummer sein, eine normale Festnetznummer reicht: Dann wird Ihnen der Code vorgelesen.
Wenn Sie diese Nummer eingeben, halten Sie bitte das passende Telefon bereit: Sie werden angerufen, Ihnen wird eine Nummer vorgelesen, die Sie dann eingeben müssen.
Jetzt haben Sie bereits zwei vertrauenswürdige Instanzen, der Rest ist einfach: Melden Sie sich auf allen anderen Geräten in iCloud an. Bei jeder Anmeldung eines neuen Gerätes erhalten Sie auf allen anderen bereits als vertrauenswürdig markierten Geräten einen kleinen Hinweis, dass es einen Zugriff auf Ihren iCloud-Account gibt, und an der Stelle können Sie den ablehnen, wenn er nicht von Ihnen kommt. Wollen Sie einen eigenen Zugriff autorisieren, dann müssen Sie den angezeigten Code auf dem zugreifenden Gerät eingeben.
Umstieg von der „zweistufige Autorisierung“ auf die „Zwei-Faktor-Autorisierung“
Der Umstieg von der alten „zweistufige Autorisierung“ auf die neue „Zwei-Faktor-Autorisierung“ geht leider nicht direkt. Sie müssen sich auf appleid.apple.com anmelden (mit Bestätigung über ein autorisiertes Gerät), und dort die „zweistufige Autorisierung“ ausschalten. Das System fordert jetzt drei Sicherheitsfragen, die Sie bitte beantworten und sich GUT merken – die brauchen Sie bei der Einrichtung des neuen Systems (siehe oben).
In Einzelfällen haben wir es gehabt, dass Sie nach dieser Umstellung 48 Stunden warten mussten, bis bei der Aktivierung statt „zweistufige Autorisierung“ dort dann „Zwei-Faktor-Autorisierung“ steht. Es kann auch sein, dass Sie ein schwaches Kennwort haben (nach Apples Richtlinien). Das müssen Sie dann ändern – und leider auf allen Geräten auch.
Ist das alles erledigt, können Sie jetzt die „Zwei-Faktor-Autorisierung“ einschalten.
Vor fast zwei Jahren haben wir Ihnen 
