? Schaffung eines Raums zur Diskussion mögl. Sicherheitslücken (und Forumsregeln in dem Kontext) ?

1. offizieller Beitrag

    Hallo zusammen!


    wegen

    Zitat von n@utilus

    hallo ich bin das neue,ich meld mich hier nur zum verkaufen und stress machen an ....
    die hürden hierfür sind imo.viel zu nieder....


    ist kein "Laberthema", sondern vielleicht einer ernsthaften DIskussion wert?


    beunruhigend fand ich vor allem in einem anderen(?) Thread einen Beitrag, wo jemand gemeint hat, dass er bei "Plusmitgliedschaft" implizit von Vertrauenswürdigkeit ausgeht ...
    (finde ich gerade nicht mehr)
    m.E. ist das allenfalls eine "gefühlte Sicherheit", aber kein Schutz und nicht mal eine ernstzunehmende Hürde vor professionellen "gewerbsmäßigen" Betrügern (1)


    außer natürlich, wenn die Freischaltungen so viele Monate dauern, dass Leute, die NUR zum Verkaufen (egal ob ehrlich oder betrügerisch) kommen, den Anmeldeversuch längst vergessen haben wenn endlich das Upgrade vorgenommen wird :sleeping:
    aber das kann ja nicht Sinn der Sache sein?


    Ich würde Sicherheitslücken aber NICHT öffentlich diskutieren!
    (da auf einen PROFI-Betrüger wohl ein Dutzend oder mehr Amateure kommen, denen wir nicht noch eine Anleitung schreiben müssen)


    --> Frage an die Moderation:


    wäre es möglich, für diese Diskussion einen "geschützten" Raum zu schaffen, wo handverlesene LANGJÄHRIGE und unzweifelhaft VERTRAUENSWÜRDIGE Forumsmitglieder Sicherheitslücken und andere Probleme offen diskutieren können?
    (um Anregungen für Verbesserungen zu erarbeiten)


    + ans Forum:
    Besteht daran Interesse?



    Anmerkung/Fußnote:


    (1) @Eva G. würde ich mal nicht als "Problem" betrachten oder ihr böse Absichten unterstellen, die über pubertäres Provozieren hinausgehen - nur der Staub, den sie aufgewirbelt hat, zeigt evtl. ein grundsätzliches Problem auf!
    Wer boshafte/z.B. betrügerische Absichten hat wird sich eher unauffällig und "gefällig" benehmen, um sich das Vertrauen und die Sympathie seiner späteren Opfer zu erschleichen ...

    Langjährige Mitglieder kennen einander.

    Die Seele hat die Farbe deiner Gedanken. Marc Aurel (121-180)
    Die Großen werden aufhören zu herrschen, wenn die Kleinen aufhören zu kriechen. Friedrich von Schiller (1759 – 1805)
    Wer eine friedliche Revolution unmöglich macht, macht eine gewaltsame unvermeidbar. John Fitzgerald Kennedy (1917-1963)
    Ich bedaure nicht, was ich getan habe. Ich bedauere, was ich nicht getan habe.     Ingrid Bergman (1915-1982)

    Gefällt mir 3
    Zitat von skeptisch4ever

    beunruhigend fand ich vor allem in einem anderen(?) Thread einen Beitrag, wo jemand gemeint hat, dass er bei "Plusmitgliedschaft" implizit von Vertrauenswürdigkeit ausgeht ...
    (finde ich gerade nicht mehr)
    m.E. ist das allenfalls eine "gefühlte Sicherheit", aber kein Schutz und nicht mal eine ernstzunehmende Hürde vor professionellen "gewerbsmäßigen" Betrügern (1)

    Vertrauen muß man sich erarbeiten.
    Habe hier schon einiges gehandelt.
    In der Regel versende ich an bekannte Geschäftspartner ohne die Überweisung abzuwarten. Umgekehrt habe ich schon Geld bekommen und der Geschäftspartner möchte eine persönliche Übergabe erst in ein paar Wochen wenn man sich mal wieder trifft, weil der Postweg nicht der Sicherste ist.
    Man ist nicht im Forum um den grossen Reibach zu machen. Handel oder Tausch sind für mich eher Nebensache. Da gibt es auch andere Möglichkeiten oder Plattformen.
    Aber vom Grundsatz her sind Deine Bedenken durch aus einer Diskussion wert.
    Beste Grüße
    N.

    Zitat von Lupus

    Langjährige Mitglieder kennen einander.

    Das ist grundsätzlich richtig ...


    1. Problem:
    ein Forum, in dem sich NUR "langjährige Mitglieder" austauschen ohne dass sich Neue sukzessive integrieren können, ist mittelfristig tot!


    2. Und wozu dann die "+Mitglied"-Folklore?
    Welches Bedürfnis wird damit bedient?
    Und wird geliefert wie bestellt - oder bringt das nur GEFÜHLTE Sicherheit?


    Zitat von Wurschtler

    Für so sensible Themen schlage ich eine Threema-Chatgruppe vor.

    kenne mich damit nicht so aus ...


    --> wie "benutzerfreundlich" ist Threema?


    wenn z.B. Du die Chatgruppe einrichtest:
    kann dann jeder ohne besondere Hardware-Voraussetzungen und ohne besondere IT-Kenntnisse sich einloggen, sobald er den Link und evtl. Login-Daten hat?
    (oder die Registrierung vom Threemachatgruppen-Admin freigeschaltet wurde)

    Zitat von skeptisch4ever

    kenne mich damit nicht so aus ...
    --> wie "benutzerfreundlich" ist Threema?


    wenn z.B. Du die Chatgruppe einrichtest:
    kann dann jeder ohne besondere Hardware-Voraussetzungen und ohne besondere IT-Kenntnisse sich einloggen, sobald er den Link und evtl. Login-Daten hat?
    (oder die Registrierung vom Threemachatgruppen-Admin freigeschaltet wurde)

    Threema ist genauso einfach wie z.B. Telegram.
    Ich habe meinen Familien- und Freundeskreis erfolgreich dazu genötigt. :D


    Bei der Ersteinrichtung erhält man eine ID. Nur der Gruppen-Administrator kann neue Gruppenbenutzer anhand ihrer ID in die Gruppe einladen. Der Nutzer muss lediglich dem Administrator seine ID mitteilen.


    Technische Voraussetzung:
    Android oder iOS für die Hauptapp (zwingend)
    Windows, Linux oder MacOS für die Sekundär-App. (optional)
    https://threema.ch/de/download

    • Offizieller Beitrag

    Threema ist kostenpflichtig, was ich gut finde. Man weiss, woher mindestens ein Teil der Finanzierung kommt: von den Nutzern. Und gute Programmierer können für ihre Arbeit viel Geld verlangen.


    Threema gilt als der beste Messenger und ich fände diesen Vorschlag von Wurstler gut.


    Weiss W. vielleicht, ob der doch auch schon Hintertüren geöffnet hat, oder öffnen musste?


    Ich habe andernorts ja schon erwähnt, dass ich regelmässig halbseidene Beiträge von neuen Benutzern in den Orkus schicken muss (Aufforderungen zu kriminellen Handlungen). Ich finde deshalb das angeschnittene Sicherheitsthema wichtig.


    Grüsse,


    Lucky

    "Das einzige Geld, auf das ich mich verlassen kann, ist das Gold, das ich besitze" J.Sinclair
    "Omikron ist die Impfung, die herzustellen man verpasst hat" Lungenfacharzt in Uganda
    "The whole game is rigged" Gerald Celente

    Gefällt mir 1
    Zitat von LuckyFriday

    Threema ist kostenpflichtig, was ich gut finde. Man weiss, woher mindestens ein Teil der Finanzierung kommt: von den Nutzern.

    Man zahlt entweder mit Geld (Threema, einmalig 5 €) oder mit seinen persönlichen Daten. (WhatsApp, Telegram & Co.)
    Die meisten Leute bezahlen lieber mit ihren persönlichen Daten.


    Zitat von LuckyFriday

    Weiss W. vielleicht, ob der doch auch schon Hintertüren geöffnet hat, oder öffnen musste?


    Bisher nicht. Vor allem ist das System technisch auch so ausgelegt, dass so gut wie keine Daten da sind, die herausgegeben werden könnten.

    Zitat von Wurschtler

    Man zahlt entweder mit Geld (Threema, einmalig 5 €) oder mit seinen persönlichen Daten. (WhatsApp, Telegram & Co.)
    Die meisten Leute bezahlen lieber mit ihren persönlichen Daten.

    Kurze Verständnisfrage?
    Die 5,-€ zahlt man vermutlich nicht bar?
    Ergo sind Konto/Kreditkartennr. bekannt, oder wie funktioniert das dann?
    Gruß
    N.

    Stehe mit einigen hier aus dem Forum im Austausch via Threema, da wir auch so außerhalb des Forums Kontakt aufgebaut haben. Funktioniert gut.


    Vorteil von Threema: End-to-End verschlüsselte Chats und Telefonate.


    Aus diesem Grund nutze ich auch in der Firma Threema, um vertrauliche Informationen kurzfristig zu übermitteln, ist deutlich sicherer als E-Mail und Co.

    Motto: Carpe diem et noctem.


    „Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit, aber bei dem Universum bin ich mir noch nicht ganz sicher.“ (Albert Einstein)


    „Wer grundlegende Freiheiten aufgibt, um vorübergehend ein wenig Sicherheit zu gewinnen, verdient weder Freiheit noch Sicherheit.“ (Benjamin Franklin)


    Rechtlicher Hinweis: Dieser Beitrag ist eine persönliche Meinung gem. Art.5 Abs.1 GG und Urteil des BVG 1 BvR 1384/16.

    Gefällt mir 6

    Ich halte die Gefahr, dass jemand einen Zugang zu einem vertrauenswürdigen Account, der einige Monate inaktiv ist, stiehlt, für größer, als dass ich mich von einem Neumitglied über den Tisch ziehen lasse.
    Das ist ja das gleiche Problem bei Ebay.
    Die Neumitglieder haben es schon schwer, ohne Bewertungen etwas teuer verkauft zu bekommen.
    Die gestohlenen Accounts sind meist gut bewertet und monatelang inaktiv.

    Der Ansatz einer anderen/alternativen Plattform zum Forum hier ist sicher aus mehreren Gründen keine schlechte Idee, aber Sicherheit ist immer schwierig und bei jeder Art von elektronischer Übertragung schlicht unmöglich.


    Threema ist seit einigen Jahren eine gehypte Alternative zu Telegramm, WhatsApp und Co. Aber mehr Sicherheit bietet diese auch nicht, zumindest nicht für offizielle Stellen die hier genauso mitlesen und analysieren wie anderswo. Klar wird ein gewisser Aufwand für die Ende zu Ende Verschlüsselung gemacht, aber der Threema-Server dazwischen ist für offizielle Stellen ebenso zugänglich wie bei anderen Diensten auch.
    Das Einzige, was die Threema-Sicherheit bietet ist eine Abschottung von Sender zu Empfänger.


    Generell sind diese Dienste und Foren wie hier, aus meiner Sicht eine praktische Sache und temporäre Informationsquelle. In wie weit die Aussagen vertrauenswürdig sind muss man für sich selbst entscheiden. Internetdienste jedoch als wichtig für die eigene Zukunft oder gar als Basis für eigne Entscheidungen zu sehen bzw. zu verwenden ist mMn ein grober Fehler.


    Alles was zählt sind persönliche Kontakte und Beziehungen, wobei man selbst diese immer kritisch bewerten sollte. "Der größte Feind sitzt an deinem Tisch" - Eine sehr alte Erkenntnis, die immer ihre Gültigkeit behalten wird.


    Wer nicht bereit zu einem persönlichen Austausch oder einer Zusammenarbeit bereit ist, wird niemals mein Vertrauen erlangen. Denn wer weiß schon, was sich hinter einem Account welcher Art auch immer wirklich verbirgt?

    Zitat von DarkMatter

    Wer nicht bereit zu einem persönlichen Austausch oder einer Zusammenarbeit bereit ist, wird niemals mein Vertrauen erlangen. Denn wer weiß schon, was sich hinter einem Account welcher Art auch immer wirklich verbirgt?


    Selbst nach einem persönlichen Treffen ist ein Identitätsdiebstahl möglich.
    Gerade das Forum hier hat mit seiner veralteten Forensoftware evtl. Sicherheitslücken, die einen Accountdiebstahl ermöglichen.


    Zitat von DarkMatter

    Threema ist seit einigen Jahren eine gehypte Alternative zu Telegramm, WhatsApp und Co.


    Threema ist nicht wirklich gehyped. Das kommt dir vielleicht so vor, wenn du in entsprechenden Kreisen unterwegs bist, aber der durchschnittliche WhatsApp-Nutzer weiß nicht mal, was das ist. (leider!)
    Gehyped wurde die letzten Jahre Telegram, welches allerdings keine sichere Alternative zu WhatsApp ist.


    Zitat von DarkMatter

    Klar wird ein gewisser Aufwand für die Ende zu Ende Verschlüsselung gemacht, aber der Threema-Server dazwischen ist für offizielle Stellen ebenso zugänglich wie bei anderen Diensten auch.


    Das ist so nicht ganz richtig.
    Der Sinn einer Ende-zu-Ende-Verschlüsselung ist ja, dass die Server dazwischen technisch garnicht die Möglichkeit dazu haben, die Nachrichten mitzulesen.
    Ausnahme: Auf der Clientsoftware ist eine "Backdoor" eingebaut. Davon muss man bei Closed-Source-Software im Zweifel ausgehen.
    Außerdem können vom Server Metadaten gespeichert werden, welches auch viele Rückschlüsse ermöglicht.



    Hier mal ein Vergleich:


    Ende-zu-Ende-Verschlüsselung: (Server dazwischen kann nicht mitlesen)
    Threema: ja
    Signal: ja
    WhatsApp: ja
    Telegram: nein (möglich, aber nur in "geheimen" Einzelchats, nicht in Gruppenchats)
    GSF: nein
    Email: nein
    Telefon/SMS: nein


    Client Open-Source: (keine Backdoors)
    Threema: ja
    Signal: ja
    WhatsApp: nein
    Telegram: ja
    GSF: nein
    Email: i.d.R. nein
    Telefon/SMS: i.d.R. nein


    Keine Sammlung von Meta-Daten:
    Threema: ja
    Signal: ja
    WhatsApp: nein
    Telegram: unklar (eher nein)
    GSF: unklar
    Email: nein
    Telefon/SMS: nein


    Eigene Server: (Verhinderung von Metadatensammlung durch Dritte)
    Threema: ja
    Signal: nein (Server bei Google/Amazon)
    WhatsApp: nein
    Telegram: unklar
    GSF: unklar
    Email: nein
    Telefon/SMS: nein


    Verschlüsselte Speicherung auf dem Gerät möglich:
    Threema: ja
    Signal: nein
    WhatsApp: nein
    Telegram: nein
    GSF: nein
    Email: i.d.R. nein
    Telefon/SMS: i.d.R. nein


    Anonyme Nutzung möglich:
    Threema: ja
    Signal: nein (Telefonnummer erforderlich)
    WhatsApp: nein (Telefonnummer erforderlich)
    Telegram: nein (Telefonnummer erforderlich)
    GSF: nein (Email erforderlich)
    Email: anbieterabhängig
    Telefon/SMS: i.d.R. nein


    Jurisdiktion:
    Threema: Schweiz
    Signal: USA
    WhatsApp: USA
    Telegram: unklar
    GSF: unklar
    Email: anbieterabhängig
    Telefon/SMS: anbieterabhängig


    Finanzierung:
    Threema: Lizenzverkauf
    Signal: Spenden
    WhatsApp: Werbeeinnahmen & Datenverkauf
    Telegram: unklar
    GSF: unklar
    Email: anbieterabhängig
    Telefon/SMS: anbieterabhängig



    Fazit:
    Threema bietet (unter den benutzerfreundlichen digitalen Kommunikationswegen) die höchste Sicherheit.

    @Wurschtler
    Ich wollte Threema nicht schlecht machen, aber eine internetbasierende Kommunikation setzt nun mal ein Netz voraus. Und das Internet ist weder ein betriebstechnisch sicheres Netz noch ist der Zugang anonym möglich. Die Nutzung von Threema ist entsprechend auch nicht anonym und die Sicherheit wird massiv vom verwendeten Betriebssystem und persönlichen Umgang beeinflusst.


    Das Thema Identitätsdiebstahl oder Identitätsweitergabe hast du immer bei dieser Form der Kommunikation und dies hat auch nichts mit der verwendeten App zu tun. Letztlich bietet hier Threema keinerlei Vorteil gegenüber anderen Apps, denn du weißt nie wer gerade auf welchem Account schreibt und wer mitliest.


    Für mich gibt es eine ganz klare Linie, was die Nutzung von indirekter Kommunikation, sowie von internetbasierenden Diensten betrifft:
    Allgemeine Infos und Hilfestellung, Wissensvermittlung, unpersönliche Diskussion, etc. - Ja, gerne
    Weitergabe zu möglichen Maßnahmen oder Vorhaben(Ausstattung - Eher nicht, außer es erscheint mir zielführend
    Alles andere und das, um was es @skeptisch4ever bei der Eröffnung des Themas wohl ging - Klares Nein!!


    Wenn einem der Gesprächspartner nicht persönlich in die Augen schaut, ist jede Info immer etwas, was man kritisch hinterfragen sollte und keinesfalls als sichere Wahrheit annehmen sollte. Selbst wenn man ihn lange kennt ist das kein Grund zu ungeprüftem Vertrauen... selbst innerhalb der eigenen Familie.
    Du nennt das jetzt vielleicht Paranoia, ich nenne es Erfahrung!

    Dieser Beitrag ist eine persönliche Meinung gem. Art.5 Abs.1 GG und Urteil des BVG 1 BvR 1384/16

    Zitat von DarkMatter

    Ich wollte Threema nicht schlecht machen, aber eine internetbasierende Kommunikation setzt nun mal ein Netz voraus. Und das Internet ist weder ein betriebstechnisch sicheres Netz noch ist der Zugang anonym möglich. Die Nutzung von Threema ist entsprechend auch nicht anonym und die Sicherheit wird massiv vom verwendeten Betriebssystem und persönlichen Umgang beeinflusst.


    Mit VPN kann man von jedem Zugang anonym ins Internet, wenn man das will.


    Zitat von DarkMatter

    Das Thema Identitätsdiebstahl oder Identitätsweitergabe hast du immer bei dieser Form der Kommunikation und dies hat auch nichts mit der verwendeten App zu tun. Letztlich bietet hier Threema keinerlei Vorteil gegenüber anderen Apps, denn du weißt nie wer gerade auf welchem Account schreibt und wer mitliest.

    Doch hat es. Threema bietet hier einige Vorteile, weil es den Identitätsdiebstahl technisch erschwert und bei richtiger Anwendung sicher ausschließt. Gegen eine Identitätsweitergabe kann man technisch natürlich nichts tun. Aber genauso wenig kannst du was dagegen tun, dass dir jemand in die Augen sieht und dich anlügt. Am Ende muss man seinem Gegenüber immer noch vertrauen können, egal ob digital oder persönlich.

    Zitat von DarkMatter

    Alles andere und das, um was es @skeptisch4ever bei der Eröffnung des Themas wohl ging


    mir ging es nicht um "STRENG Vertrauliches" ...

    ... sondern eher um Sicherheitslücken, die von "normalen" Betrügern genutzt werden könnten ... die eiin PROFESSIONELLER Betrüger selber finden dürfte, aber nicht als Anleitung für Amateurbetrüger offen im Forum stehen sollten ...


    (kann leider keine "Konversation" zu Dir eröffnen, um mehr ins Detail zu gehen --> kriege da ne Fehlermeldung)

    Die Forensoftware hier hat viele Macken, ob dies am Alter oder der Wartung liegt?


    Ich hatte dich, denke ich, schon verstanden und drück das mal in meinen Worten aus:
    Wenn die Zeiten schwieriger werdenden, muss man auch zweifelhafte Wege durchdenken oder sogar beschreiten.
    Dies ist für mich nichts Verwerfliches, allenfalls persönliche Vorteilnahme oder unfair. Aber ob etwas illegal oder kriminell ist bestimmt alleine die Gesellschaft und deren Empfinden verändert sich nunmal in schwierigen Zeiten auch.


    Vor einigen Jahren lief ein Mann mit einem Hammer durch die Fü0gängerzone der nahen Stadt und wurde letztlich gestoppt - Werkzeug oder Waffe? - Was damals eher groteske Züge annahm, war die Folge von mehreren Polizeialarmierungen, und endete schadlos für alle Beteiligten. Doch was würde heute geschehen? Und was wenn die Zeiten schwieriger werden??
    Damals (vor 2015) war die Frage sicher überzogen, aber heute wäre diese Frage schon berechtigt..


    Die eigene innere Balance zu halten, erfordert einen starken Charakter und gefestigten Geist. Nachdem dies eher seltene menschliche Eigenschaften sind, gibt es Kriminalität und Gewalt.

    Dieser Beitrag ist eine persönliche Meinung gem. Art.5 Abs.1 GG und Urteil des BVG 1 BvR 1384/16

Schriftgröße:  A A A A A