backup & security – Page 40

macOS Sequoia erschwert Ausführen von nicht signierten Apps

Das kommende macOS Sequoia macht es schwieriger, Apps zu öffnen, die die nicht ordnungsgemäß signiert oder von Apple notariell beglaubigt sind. In macOS Sequoia können Benutzer nicht mehr mit einem STRG Klick Gatekeeper außer Kraft setzen, wenn sie Software öffnen, die nicht korrekt signiert oder notarisiert ist. Sie müssen die Systemeinstellungen > Datenschutz & Sicherheit aufrufen, um Sicherheitsinformationen für Software zu überprüfen, bevor sie deren Ausführung zulassen. Wenn Entwickler Software außerhalb des Mac App Store vertreiben, empfiehlt Apple natürlich, dass sie ihre Software zur Notarisierung einreichen. Vermutung: Die, die STRG Klick zum Öffnen dieser Apps kennen, werden wissen, was sie da tun.

Angebot

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Strongbox: Passwortmanager mit Neuerungen

Der Strongbox-Passwortmanager ist eine Software zur sicheren Verwaltung von Passwörtern, die speziell für iOS und macOS entwickelt wurde. Er unterstützt die beliebte KeePass-Datenbank, was ihn kompatibel mit vielen anderen Passwortmanagern macht. Mit der letzten Version haben die Entwickler Strongbox Sync vorgestellt, die nun veröffentlichte Version bringt weitere Neuerungen.

Ab sofort gibt es einen neuen Home-Tab, der einen bequemen Zugang zu den Datenbankfavoriten und verschiedenen Ansichtsarten bietet. Nutzer können den Home-Tab über die Datenbankeinstellungen konfigurieren und in den sichtbaren Bereich verschieben. Zusätzlich gibt es neue Ansichten vom Home-Tab aus, darunter Audit Issues (nach Fehlertyp gruppiert), Passkeys, SSH-Schlüssel, Anhänge sowie abgelaufene und bald ablaufende Elemente.

Die Detailansicht wurde ebenfalls verbessert, insbesondere die Tag-Ansicht, so der Entwickler. Außerdem wird jetzt ein Hinweis angezeigt, wenn das Speichern der Datenbank erfolgreich war. Ein behobener Fehler betraf die TOTP QR-Codes, die aufgrund einer fehlerhaften otpauth-URL nicht mit Authy funktionierten.

Strongbox ist eingeschränkt kostenlos nutzbar, es gibt ein monatliches (2,99 Euro) und jährliches Abo (19,99 Euro) oder die Lifetime-Lizenz für 80 Euro.

Angebot

Phishing per Briefpost: Kriminelle geben sich als Banken aus und versenden QR-Codes

Das Landeskriminalamt Niedersachsen (LKA) warnt aktuell vor gefälschter Briefpost. So nutzen Kriminelle die Namen von Banken, um QR-Codes zu verschicken. In den entsprechenden Schreiben, die per Snail-Mail eingehen, weist man die Empfänger auf vermeintliche, wichtige Angelegenheiten im Zusammenhang mit ihrem Konto hin. Am Ende soll zur Überprüfung bzw. Aktualisierung der Stammdaten ein QR-Code gescannt werden. Der führt natürlich zu einer Fake-Website, über welche die Betrüger sich Zugang zu eurem Konto verschaffen wollen.

Dabei hofft man offensichtlich, dass so ein klassischer Brief eine höhere Glaubwürdigkeit erzeugt als eine von vielen täglichen Spam-E-Mails. Immerhin müssen die Täter ja eure korrekte Adresse kennen. Aktuell sind dem LKA Niedersachsen glücklicherweise noch keine entstandenen Schäden bekannt. Denn die Menschen, die sich an die Polizei gewandt haben, waren alle bedacht genug, den Kriminellen nicht auf den Leim zu gehen. Dabei geben sich die Betrüger mal als Commerzbank und mal als Deutsche Bank aus. Es ist aber möglich, dass noch die Namen weiterer Banken missbraucht werden.

Wie ihr seht, sind die gefälschten Schreiben durchaus gut gemacht. Erkennbar wird der Betrug aber im Grunde, sobald der QR-Code gescannt wird, denn der führt eben nicht zu einer echten Banking-Website, sondern zu einem Fake. Wer da also genau auf die URL schaut, wird schnell gewarnt sein. Dafür ist es aber möglicherweise notwendig, in der Adresszeile bis zum Ende zu wandern. So kann der Anfang des gefälschten Links vielleicht noch plausibel wirken.

Woher haben die Täter die Adressen?

Woher könnten die Betrüger nun die Adressen der Empfänger haben? Jene dürften sie aus vergangenen Leaks und Hacks bezogen haben. Laut dem LKA Niedersachsen könne man aber bei der bisher geringen Anzahl an bekannten Betroffenen auch nicht ausschließen, dass diese vielleicht in der Vergangenheit auf Phishing hereingefallen sind und ihre Adressdaten selbst preisgegeben haben.

Wer so einen Brief erhält, sollte im Zweifelsfall einfach direkt seine Bank kontaktieren und nachfragen. Das klärt die Sache schnell und sicher auf. Auch die Anzeige bei der örtlichen Polizei oder Onlinewache ist zu empfehlen. Dabei sollte das eingescannte/abfotografierte Täterschreiben übermittelt werden, auch damit die Polizei möglicherweise neue Abwandlungen erfassen kann.

Wie immer mein Rat: Sensibilisiert auch eure weniger technikaffinen Kontakte für diese neue Masche.

Microsoft: Alle Mitarbeiter sollen das Thema Sicherheit auf ihre Agenda setzen

Microsoft hat intern eine neue Praktik eingeführt, welche die Mitarbeiter-Bewertungen betrifft. Deren Leistungen will man verstärkt auch daran bemessen, wie sie zum Thema Security beitragen. In einem internen Memo (via The Verge) weist die Personalchefin, Kathleen Hogan, daher alle Angestellten darauf hin, dass Sicherheit jetzt für jeden Mitarbeiter eine Kern-Priorität sein müsse.

Sollten sie also einmal vor einer Entscheidung stehen, bei der ein Kompromiss notwendig sei, solle dieser immer zugunsten der Sicherheit ausfallen. Wer sich nicht daran halte, wird bei Beförderungen, leistungsbezogenen Gehaltserhöhungen und Boni zukünftig außen vor bleiben. Dies soll insbesondere auch für das Management in einzelnen Abteilungen ein Anreiz sein, das Thema Sicherheit ganz oben auf die Agenda zu setzen.

Von Anfang an soll bei Projekten der Aspekt der Datensicherheit zentral sein. Nur so könne man der Verantwortung gegenüber seinen Stakeholdern gerecht werden. Deswegen werde man den Sicherheits-Aspekt weltweit für interne Personalbewertungen heranziehen. Am Ende soll das Ganze nicht nur eine Box zum Abhaken sein, sondern dafür sorgen, dass das Thema Security in der Unternehmenskultur oberste Priorität werde.