Trends & News | News

BSI definiert sicheren E-Mail-Versand

Das Bundesamt für Sicherheit und Informationstechnik (BSI) will den E-Mail-Versand sicherer machen. Dafür hat es Vorgaben definiert, die ein E-Mail-Anbieter erfüllen sollte. Im Mittelpunkt der am 20. August veröffentlichten Entwürfe für eine Richtlinie steht ein vom Mail-Provider zu erstellendes und umzusetzendes Sicherheitskonzept, das durch weitere Anforderungen an die Kommunikationssysteme des Anbieters ergänzt werden soll. Bemerkenswert ist, dass das BSI Mail-Dienste zertifizieren will. Ein Zertifikat soll dem Mail-Provider ein „definiertes Sicherheitsniveau“ bescheinigen.

Bedeutsam erscheint auch, dass das BSI nicht nur vertrauenswürdige TLS-Zertifikate für den Mail-Transport sowie eine „sichere Kryptografie“ fordert, sondern auch mittels DNSSEC abgesicherte DNS-Abfragen und zusätzlich einen per DANE abgesicherten Mail-Transport zwischen den SMTP-Servern der Provider. Als Zugeständnis für etablierte Mail-Anbieter mit Sicherheitszertifikat kann man werten, dass DANE zurzeit lediglich optional ist. Bei Neu- und bei Rezertifizierungen wird es jedoch verpflichtend.

Die Veröffentlichung der Richtlinie fällt zeitlich eng mit gleich zwei substanziellen Verbesserungen der Mail-Dienste Web.de und GMX zusammen: Für beide hat der Eigner United Internet unlängst bekundet, nicht nur DNSSEC und DANE einzurichten, sondern beide bieten seit Kurzem auch eine Ende-zu-Ende-Mailverschlüsselung auf PGP-Basis an. In der Folge hatte das dem BSI übergeordnete Bundesinnenministerium die Verschlüsselungsinitiative von United Internet ausdrücklich begrüßt.

Besonders der Schritt von United Internet, DNSSEC und DANE einzuführen, kam überraschend – der Konzern gehört nämlich zu den Teilnehmern der Initiative „E-Mail made in Germany“ (EmiG), die den Mail-Transport mittels eines eigenen, wenig verbreiteten Verfahrens absichert. Dafür dürfte es nach Lage der Dinge jedoch kein Zertifikat vom BSI geben. Insofern kann man gespannt beobachten, wie andere EmiG-Teilnehmer auf die veränderte Situation reagieren werden. (dz@ct.de)

PayPal: Bezahlen ohne Passwort

Mehr Bequemlichkeit verspricht der Bezahldienst PayPal durch die One-Touch-Funktion, die nun auch in Deutschland, Österreich und der Schweiz sowie in zehn weiteren Ländern eingeführt wird. Dazu wählt man beim Checkout den Punkt „Eingeloggt bleiben und schneller zahlen“ aus. Diese Einstellung gilt dann nur für das aktuell genutzte Gerät. Für dieses erstellt PayPal per Browser oder App ein Profil, anhand dessen es bei den nächsten Bezahlvorgängen erkannt wird. Dabei muss man dann kein Passwort mehr eingeben. Händler müssen nichts ändern, damit ihre Kunden One Touch nutzen können.

Die Funktion ist in den USA, Kanada und Großbritannien schon länger verfügbar und hat dort offenbar zu keinen größeren Sicherheitsproblemen geführt. Man kann darüber nur bezahlen, nicht aber Geld zum Bankkonto transferieren oder Kontoeinstellungen ändern. PayPal geht davon aus, dass Mobilgeräte und Computer gegen unerlaubte Nutzung gesichert sind. Außerdem versucht eine Betrugserkennung, eventuellen Missbrauch zu verhindern. Sie wird zum Beispiel aktiv, wenn zwei Zahlungen in kurzer Zeit an weit auseinanderliegenden Orten erfolgen. Schöpft das System Verdacht, fordert es trotz aktivem One Touch ein Passwort an.

Bei einem ersten Test störte uns, dass in den Kontoeinstellungen nicht ersichtlich war, welche Geräte One Touch nutzten. Wir empfehlen generell einen Sicherheitsschlüssel, um das PayPal-Konto zusätzlich abzusichern. Diesen mussten wir für den Test jedoch deaktivieren, da die PayPal-Apps damit nicht zurechtkamen. Eine Gerätesperre mit PIN, Touch-Geste oder Fingerabdruck-Scanner ist dafür aber kein angemessener Ersatz. (ad@ct.de)

Firefox mit neuer Add-on-Schnittstelle

Mozilla will die Sicherheit und die Performance von Firefox verbessern: Dazu soll der Browser zukünftig jeden Tab in einem eigenen Prozess verwalten. Bei Chrome und Opera ist das schon lange üblich. An der Technik namens Electrolysis arbeiten die Entwickler bereits seit 2009; geplant ist eine allgemeine Verfügbarkeit spätestens Ende 2015.

Im Zuge der Modernisierung arbeitet Mozilla auch an einer neuen Schnittstelle (API) für Firefox-Erweiterungen. Mit ihr sollen es Entwickler einfacher haben, ihre Add-ons für andere Browser anzupassen. Die jetzigen Schnittstellen XPCOM und XUL will Mozilla dann allerdings abschalten. In Zukunft setzt Firefox auf ein WebExtensions-API, für das die Erweiterungsschnittstelle von Chrome als Vorbild dient.

Kritik zu Mozillas Plänen kam von Entwicklern, die in ihrer Freizeit Add-ons entwickeln: Weil die neue Schnittstelle noch in Entwicklung sei, ließe sich nur schwer abschätzen, wie viel Arbeit der Umstieg machen werde. Zudem sei unklar, welche Funktionen weiterhin verfügbar bleiben. (dbe@ct.de)

Günstige ARM-Rootserver

Zu monatlichen Preisen ab 11,78 Euro vermietet der Hoster Hetzner Rootserver mit Cortex-A15-Prozessorkernen. Hardware-Basis ist der Mini-Rechner Odroid-XU4, ein Einplatinencomputer des koreanischen Herstellers Hardkernel. Der Setup-Preis für die kleinste Version AX10 beträgt einmalig ebenfalls 11,78 Euro, im Mietpreis enthalten ist ein monatliches Datentransfervolumen von 10 TByte.

Herzstück des Odroid-XU4 ist das ARM-SoC Samsung Exynos 5422 mit je vier Cortex-A15- und Cortex-A7-Kernen. Diese können 2 GByte RAM nutzen. Vorinstalliert ist die Linux-Distribution Ubuntu 15.04 in der 32-Bit-Version – bei Cortex-A15/A7 handelt es sich um 32-Bit-Kerne. Als Massenspeicher dient ein eMMC-Flash-Modul mit 32 oder 64 GByte, für die 64-GByte-Version AX20 verlangt Hetzner 50 Prozent Aufpreis. Bei der Variante AX30 (23,68 Euro monatlich) ist per USB 3.0 eine 240-GByte-SSD angeschlossen.

Die von Hetzner vermieteten ARM-Server sind leistungsstark genug, um etwa als Webserver zu dienen. (ciw@ct.de)

Artikel kostenlos herunterladen

Anzeige