Leetspeak

Leetspeak

Leetspeak ist ein Begriff aus dem Netzjargon und eine Art Geheimcode bestimmter Mitglieder der Computerszene. Der Gedanke dahinter ist es, Buchstaben durch ähnlich aussehende Zahlen und/oder Sonderzeichen zu ersetzen, um den Text dadurch schwerer lesbar zu machen. Der Name leitet sich ab von den englischen Begriffen für Elite („elite“, kurz: „leet“) und sprechen („speak“), was im Leetspeak als 1337 („Leet“) oder 1337 5P34K („Leet Speak“) geschrieben wird.

Die Ursprünge von Leetspeak lagen in dem Versuch, das automatische Auslesen und Filtern von abgehörten E-Mails oder anderen digitalen Dokumenten zu verhindern. Auch sollte die ungewöhnliche Schreibweise das Entschlüsseln von Passwörtern erschweren. Zudem wurde Leetspeak in der frühen Computer- und Gaming-Szene als Geheimjargon verwendet, um sich von unerfahrenen Nutzern abzugrenzen. Dort kommt sie heute jedoch zumeist nur noch in einem selbstironischen Zusammenhang zum Einsatz. Dies liegt unter anderem daran, dass „Leet“ bereits einen zu großen Bekanntheitsgrad erreicht hat, um noch als Geheimcode verwendet zu werden. Darüber hinaus findet sich Leetspeak gelegentlich in Spam-E-Mails, da Absender hierdurch versuchen, dem Spam-Filter zu entgehen. Viele Filterprogramme sind aber mittlerweile in der Lage, Leetspeak auszulesen. Gleiches gilt für Programme, die von Cyber-Kriminellen zum Ausspähen von Passwörtern und anderen Nutzerdaten verwendet werden. Das ist besonders dann problematisch, wenn Nutzer die Leetspeak verwenden, um ihre Kennwörter zu verschlüsseln, weshalb von dieser Methode inzwischen abgeraten wird.

Beispiele von Leetspeak:

  • A = 4
  • E = 3
  • S = 5 oder $
  • 4U = for you
  • Danke = thx

TAN-Generator

TAN-Generator

Ein TAN-Generator erzeugt TANs auf elektronischem Wege. Die sogenannte TAN (Transaktionsnummer), ist ein Einmalkennwort (OTP), das hauptsächlich für das Online-Banking benötigt wird. Sie kann aber auch bei anderen Online-Dienstleistern zur Anwendung kommen, die für die Nutzung oder Anmeldung eine Authentifizierung fordern. Beim TAN-Verfahren wird für jede Transaktion, etwa bei einer Überweisung oder auch bei der Einrichtung eines Dauerauftrags, eine meist sechsstellige Nummer vergeben. Diese dient als Code, der zur Bestätigung eingegeben werden muss, um die Transaktion durchzuführen.

In den vergangenen Jahren haben TAN-Generatoren gegenüber klassischen TAN-Verfahren, wie etwa TAN-Listen oder SMS-TAN, immer mehr an Beliebtheit gewonnen. Wie ein TAN-Generator funktioniert, ist von dem jeweiligen Verfahren abhängig.

sm@rtTAN-Generator:

Hierbei verwendet der Nutzer einen TAN-Generator ohne Zifferntasten, der ihm zum Beispiel von seinem Kreditinstitut bereitgestellt wird. Die Kundenkarte wird in den Generator eingesteckt, der daraufhin TANs erzeugt. Da das Verfahren anfällig für Phishing-Angriffe ist, ist seine Verbreitung eher gering.

eTAN-Generator:

Bei diesem Verfahren erhält der Anwender einen individualisierten TAN-Generator, der einen geheimen Schlüssel, die aktuelle Uhrzeit sowie die Kontonummer des Empfängers nutzt, um daraus eine einmalig und zeitlich begrenzt gültige TAN zu erzeugen. Die Kontonummer wird über das Tastenfeld des Generators eingegeben.

chipTAN-Generator:

Dieser Generator gilt als einer der sichersten auf dem Markt. Er verfügt über Eingabetasten, ein Display und einen Einschub für die Kundenkarte. Auf der Rückseite befinden sich zudem fünf optische Sensoren. Gibt der Nutzer beim Online-Banking die Daten zum Beispiel für eine Überweisung ein, erscheint auf dem PC-Bildschirm eine Grafik. An diese Grafik hält nun der Nutzer, mit eingeschobener Karte, die Sensoren des Generators. Dadurch werden die eingegebenen Daten an das Gerät weitergegeben, woraufhin die chipTAN erzeugt wird. Diese kann dann einmalig für den Abschluss der Transaktion verwendet werden.

photoTAN:

Bei der Photo TAN wird ein Pixelbild auf dem Bildschirm generiert, welches mit einem Smartphone abfotografiert wird und mittels einer APP wird daraus eine TAN generiert.

TAN-Generatoren werden nicht nur beim Online-Banking genutzt. So bieten einige Online-Dienstleister die Möglichkeit, sich zusätzlich zur Passworteingabe durch einen zweiten Faktor – wie eine temporäre TAN – abzusichern. Dieses Verfahren wird als Zwei-Faktor-Authentifizierung bezeichnet.

WPA-2

WPA-2

WPA-2 (Wi-Fi Protected Access 2) ist ein Verschlüsselungsstandard für WLANs, der 2004 als Nachfolger von WPA eingeführt wurde. Er wurde nach den WLAN-Standards IEEE 802.11a, b, g, n und ac entwickelt und basiert auf dem Verschlüsselungsverfahren AES (Advanced Encryption Standards).

WPA-2 dient dazu, die übertragenen Daten in einem WLAN und der teilnehmenden Clients vor unerwünschten Zugriffen und dem Mitlesen durch Dritte zu schützen. Fast alle modernen Router sind standardmäßig auf WPA-2 eingestellt. Die Authentifizierung erfolgt in größeren Netzen häufig über den Authentifizierungsserver RADIUS (Remote Authentication Dial-In User Service), während kleinere Netzwerke, zum Beispiel von Privatnutzern, über einen PSK (Pre-Shared-Key) gesichert sind. Für eine sichere Authentifikation über das PSK-Verfahren ist ein Netzwerkschlüssel nötig, der maximal 63 Zeichen umfassen kann. Der voreingestellte Netzwerkschlüssel ist in der Regel auf der Unterseite deines Routers vermerkt, kann jedoch von dir geändert werden. Hier solltest du auf eine Kombination aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen achten und auf zusammenhängende Wörter oder Buchstabenreihen verzichten.

Auch wenn WPA-2 als wesentlich sicherer als sein Vorgänger gilt, wurde 2018 ein neuer Standard, WPA-3, angekündigt. Dieser enthält neue Funktionen, welche die Authentifizierung vereinfachen sowie die Sicherheit von Verschlüsselung und Authentifizierung erhöhen sollen.

 

 

 

WPA

WPA (Wi-Fi Protected Access) ist der 2003 verabschiedete Standard zur Verschlüsselung und Authentifizierung im WLAN. Er ist der Nachfolger des WEP-Standards (WEP = Wired Equivalent Privacy), dessen Schwachstellen und Sicherheitslücken er beseitigen sollte. Mittlerweile gilt allerdings auch WPA als überholt, weshalb von einer Verwendung für drahtlose Netzwerke abgeraten wird.

WPA basiert auf der Architektur von WEP, bringt jedoch durch dynamische Schlüssel und weitere Authentifizierungsverfahren zusätzlichen Schutz. In großen WLAN-Installationen kommt zumeist die Authentifizierung über EAP (Extensible Authentication Protocol) zum Einsatz, während kleinere Netzwerke häufig über PSK (Pre-Shared-Keys) authentifiziert werden.

WPA wurde noch vor der Verabschiedung des offiziellen WLAN-Standards IEEE 802.11i veröffentlicht. Da WEP bereits zu diesem Zeitpunkt als geknackt galt, musste schnellstmöglich eine sichere Alternative gefunden werden, weshalb die Fertigstellung des IEEE-Standards 802.11i nicht abgewartet werden konnte. Daher stellt WPA eine Art Übergangslösung dar, die schon 2004 durch das neue WPA-2 (Wi-Fi Protected Access 2) abgelöst wurde. 2018 wurde eine weitere Ergänzung des Standards angekündigt, WPA3. Dadurch sollen zukünftig unter anderem Passwörter und die Nutzer-Privatsphäre in offenen Netzwerken besser geschützt und der Prozess des Konfigurierens auf Geräten mit kleinem Display vereinfacht werden.

 

 

 

WLAN

Der Begriff WLAN, manchmal auch als Wireless LAN oder W-LAN bekannt, steht für Wireless Local Area Network. Wörtlich übersetzt bedeutet WLAN so viel wie „kabelloses, lokales Netzwerk“, bezeichnet also ein Netzwerk mit begrenzter Reichweite, das mit einer Funktechnik arbeitet. In anderen Ländern, beispielsweise Kanada, Großbritannien oder Frankreich, wird WLAN in der Regel mit dem Begriff WiFi übersetzt. Dieser bezieht sich streng genommen jedoch nur auf Funknetze, die nach einem Standard der IEEE-802.11-Familie funktionieren. Für die Bereitstellung des WLAN ist dein Router verantwortlich. Dieser stellt über deinen Provider (z.B. per DSL, Kabel oder LTE) eine Internetverbindung her. Diese Internetverbindung kann dann von Geräten genutzt werden, die in dem WLAN verbunden sind. Das WLAN wird also nicht vom Internetanbieter, sondern von dir selbst betrieben.

Da über eine offene WLAN-Verbindung theoretisch jeder deine Internetverbindung nutzen kann, muss sie aus Sicherheitsgründen verschlüsselt werden. Der WLAN-Standard IEEE 802.11 sieht die Verschlüsselung über den Sicherheitsstandard WEP (Wired Equivalent Privacy) vor. Da dieser mittlerweile aber nicht mehr dem aktuellen technologischen Stand entspricht, wurden Ergänzungen und Nachfolger wie WEPplus, WPA (Wi-Fi Protected Access), WPA-2 und WPA-3 entwickelt. Um auf eine WLAN-Verbindung zugreifen zu können, musst du dich über einen Netzwerkschlüssel – ein Passwort bzw. Code – authentifizieren. Deinen Netzwerkschlüssel findest du zumeist auf der Unterseite deines Routers, er kann von dir jedoch geändert werden. Nur Nutzer, die diesen Netzwerkschlüssel in ihrem Gerät eingeben, können die Internetverbindung über das WLAN nutzen. Jedem verbundenen Gerät wird eine IP-Adresse zugeordnet, durch die es im Netzwerk eindeutig zugeordnet wird. So landen angeforderte Daten zum Beispiel nicht versehentlich auf deinem Smartphone, statt auf deinem Notebook.

Das WLAN ist nicht zu verwechseln mit dem WPAN (Wireless Personal Area Network). Im Vergleich zum WPAN hat es eine größere Reichweite und Sendeleistung und bietet generell höhere Datenübertragungsraten.

Temporärer Code

Temporärer Code

Temporäre Codes sind Zeichenfolgen, die genutzt werden, um sich für den Zugriff auf Online-Dienstleister, Anwendungen oder Portale zu authentifizieren oder Transaktionen durchzuführen. Damit wird verhindert, dass Angreifer das Passwort abhören und erneut verwenden können. Bekannte Beispiele sind Einmalpasswörter (OTP) oder TANs, die beim Online-Banking genutzt werden. Im Unterschied zu herkömmlichen Passwörtern werden temporäre Codes in der Regel automatisch generiert und sind nur einmalig, oft für ein festgelegtes Zeitfenster verwendbar. Dies wird auch als Wechselcodeverfahren bezeichnet.

Für die Verwendung von temporären Codes gibt es im Allgemeinen zwei Optionen: Entweder werden die Codes von vorgenerierten Listen verwendet, die über einen vertrauenswürdigen Kanal übermittelt wurden. Zu finden ist dieses Verfahren bei den TAN-Listen im Online-Banking. Die zweite Möglichkeit ist der Einsatz von kryptografischen Hash-Funktionen zur Generierung von Einmalpasswörtern, die nur kurzzeitig nutzbar sind. Temporäre Codes kommen häufig als Ergänzung zu Passwörtern zum Einsatz, um dem Nutzer durch die sogenannte Zwei-Faktor-Authentifizierung ein höheres Maß an Sicherheit zu gewährleisten. Wer sich zum Beispiel mit seiner Apple-ID auf einem anderen Gerät anmelden möchte, benötigt dafür einen Bestätigungscode. Dieser kann auf ein anderes vertrauenswürdiges Gerät gesendet, per SMS verschickt oder telefonisch übermittelt werden. Mit diesem temporären Code kann der Nutzer, in Verbindung mit seinem Passwort, das neue Gerät dann freischalten.

Zudem bieten viele Online-Zugangsportale, wie etwa Adobe, die Möglichkeit einen temporären Code in Form eines Einmalpasswortes zu generieren. Dazu lädt der Nutzer eine App, wie z.B. den Google Authenticator, herunter und richtet das Online-Portal dort ein.

 

IT-Dienstleister

IT-Dienstleister

Ein IT-Dienstleister erbringt unterschiedliche Services im Bereich der Informationstechnik. Zumeist wird er von Unternehmen beauftragt, welche einzelne Aufgaben oder den gesamten IT-Bereich an ihn auslagern. Generell können IT-Dienstleistungen sowohl von unternehmenseigenen Abteilungen als auch von externen Dienstleistern erbracht werden. Viele Firmen entscheiden sich für die Auslagerung, um die eigenen Ressourcen zu schonen und hochqualifiziertes Fachwissen zu nutzen, ohne dieses intern aufbauen zu müssen. Für die Beanspruchung eines IT-Dienstleisters gibt es verschiedene Optionen.

Selektives Outsourcing: Der IT-Dienstleister übernimmt einzelne IT-Aufgabenbereiche.

Vollständiges Outsourcing: Der IT-Dienstleister übernimmt die gesamte Verantwortung für sämtliche IT-Prozesse.

Business Process Outsourcing: Der IT-Dienstleister übernimmt die Verantwortung über den gesamten Geschäftsprozess.

Je nach Modell und Bedarf erbringen IT-Dienstleister ein breites Spektrum an Dienstleistungen: Sie entwickeln Software, implementieren und pflegen die genutzte Hardware, implementieren Drittanwendungen, verkaufen und installieren Zubehör und führen Mitarbeiterschulungen durch. Zudem verantworten sie im Kontext von Managed Services auf Wunsch die gesamte IT-Infrastruktur eines Unternehmens – eine Dienstleistung, die häufig als monatsweise buchbares Paket angeboten wird. Darüber hinaus stehen ganzheitliche IT-Dienstleister (IT-Experten) ihren Kunden in sämtlichen Fragen rund um IT-Sicherheit, Kommunikation, Hard- und Software beratend zur Seite.

Beispiele für IT-Dienstleistungen

Sicherheitslösungen:

  • Sichere Serverstruktur inklusive Notfallplan
  • Bereitstellen von zuverlässiger Hard- und Software
  • Regelmäßige Updates
  • Monitoring und Dokumentation
  • Sichere Verbindungen (LAN und VPN)
  • Sicherer Server und Clients
  • Antivirenprogramme
  • Firewalls
  • Mitarbeiterschulungen u.a. zum Thema Datenschutzgrundverordnung (DSGVO)
  • Vergabe von sicheren Passwörtern
  • Erstellen von Datei- und Serverbackups
  • Alarmierungsplan
  • und mehr

Kommunikationslösungen:

  • Aufbau der IT-Infrastruktur
  • WLAN
  • E-Mail Server
  • Notebooks
  • Tablets
  • Mobile Endgeräte
  • IP-Telefonie
  • Beamer
  • Videokonferenzen
  • Chat- und Messengerdienste
  • und mehr

Hard- und Softwarelösungen:

  • PCs, Notebooks, Tablets, Mobile Endgeräte
  • Server
  • Netzwerkkomponenten
  • Unterbrechungsfreie Stromversorgung (USV)
  • Netzgebundener Speicher (NAS)
  • Separate Festplatten (DAS)
  • IP-Telefonie
  • Tastatur, Headset etc.
  • Bildschirme und Monitore
  • Beamer
  • Videokonferenzlösungen
  • Betriebssysteme
  • Internetbrowser
  • Office-Anwendungen
  • Datenbanken
  • und mehr

Beratungslösungen:

  • Analyse der Infrastruktur und Situation
  • Erstellung eines individuellen IT-Konzeptes
  • Wartung und Weiterentwicklung von IT-Systemen
  • Optimierung von Anwendungen und Prozessen
  • und mehr

 

 

IP-Adresse

IP-Adresse

IP ist das Kürzel für „Internet Protocol“. Dabei handelt es sich um einen weit verbreiteten Netzwerkstandard, der – ähnlich wie eine internationale Verkehrssprache für Computer – vorschreibt, in welcher Form Informationen ausgetauscht werden. Zu den Regelungen gehört, dass jeder Computer, der über das Internet kommuniziert, eine IP-Adresse haben muss. Diese Adresse ist das eindeutige Identifikationsmerkmal eines Computers, das dessen Standort im Internet definiert.

Daher darf sie für jedes Gerät in einem Netzwerk nur einmal vergeben werden, um sicherzustellen, dass Daten an das richtige Gerät gesendet werden. Die IP-Adresse des Computers wird bei jedem Aufruf einer Internetseite automatisch vom Browser übertragen, sodass der Web-Server weiß, an welches Gerät das Datenpaket geschickt werden soll. Ohne IP-Adresse würden alle Informationen, die über das Internet versendet werden, ziellos ins Leere laufen.

Grundsätzlich gibt es zwei verschiedene Arten von IP-Adressen: die dynamische und die statische. Von einer dynamischen IP-Adresse ist die Rede, wenn dem Computer während der Verbindung zum Internet wechselnde IP-Adressen zugewiesen werden. Wählt der Nutzer sich ins Internet ein, erhält er eine freie IP-Adresse, die nach dem Auswählen wieder gelöscht wird. Zu finden sind diese dynamischen IP-Adressen zum Beispiel bei vielen privaten DSL-Anschlüssen. Hingegen werden statische, also fest vergebene, IP-Adressen oft von Unternehmen genutzt. Das erleichtert es ihnen, Zugriffe auf eine IP-Adresse innerhalb des Firmennetzes besser zu steuern.

Für den Aufbau einer IP-Adresse gibt es zwei verschiedene Standards: Nach dem älteren IPv4-Standard bestehen Adressen aus vier Zahlen im Bereich von 0 bis 255, wobei jede Zahl von der nächsten durch einen Punkt getrennt ist. Beispiel: 192.168.0.1. Bei diesem System ist die Anzahl der möglichen Kombinationen jedoch recht begrenzt. Deutlich mehr Möglichkeiten bietet der neuere IPv6-Standard. Hier bestehen IP-Adressen aus acht Zeichenblöcken, die Ziffern und Buchstaben enthalten. Beispiel: fe80:0010:0000:0000:0000:0000:0000:0001.

Wer weiß, wie IP-Adressen zu lesen sind, kann durch sie einige Informationen erhalten. Zum Beispiel lässt sich anhand bestimmter Zahlenfolgen erkennen, welchen Internetprovider du nutzt und aus welcher Region du auf das Internet zugreifst. Zudem kann dein Provider über die Adresse deinen Datenstrom verfolgen und so, zumindest theoretisch, sehen, wonach du im Internet gesucht hast und auf welchen Seiten du warst. Laut aktueller Gesetzgebung sind Provider jedoch dazu verpflichtet, die gesamten Verlaufsdaten nach Beendigung der Sitzung zu löschen. Dennoch ist juristisch noch nicht abschließend geklärt, wie lange an Kunden vergebene IP-Adressen gespeichert werden dürfen. Gegen Vorratsdatenspeicherung liefen und laufen bereits mehrere Verfassungsbeschwerden vor dem Bundesverfassungsgericht.

 

ID

ID

ID ist die Abkürzung für „Identifikator“, auch Kennzeichen genannt. Ein Identifikator kann prinzipiell zum Identifizieren beliebiger Produkte, Objekte (z.B. Produktnummer, Seriennummern) oder Menschen (z.B. Ausweisnummer) genutzt werden. So wird zum Beispiel jedem deutschen Staatsbürger eine Steuer-ID (Steuer-Identifikationsnummer) zugewiesen, jedes Smartphone hat eine eindeutige ID (International Mobile Equipment Identity) und Bauteile werden über Bestellnummern identifiziert. Im engeren Sinne handelt es sich bei einer ID also um eine individuelle, verschlüsselte Zeichenfolge, die einem Menschen oder einem Objekt zugeordnet wird. Daher steht die Abkürzung häufig auch für „Identifikationsnummer“.

Beispiele aus dem IT-Bereich für solche einmaligen IDs sind IP-Adressen für Computer in einem Netzwerk oder Computer-IDs. Im Internet werden IDs oft zur Kennzeichnung oder als Nutzernummern von Accounts verwendet, beispielsweise bei der Nutzung von Google+, Adobe oder des Apple-Stores. Wer Käufe im Apple-Store und bei iTunes durchführt, benötigt eine Apple-ID. Manche Android-Geräte verfügen über eine Werbe-ID, die Nutzerdaten sammelt, um Werbung zu personalisieren. Internet- und Telefonanbieter vergeben IDs an alle, die ihre Dienste verwenden. Oft müssen diese angegeben werden, um Änderungen an den Zugangsdaten vorzunehmen oder wenn diese vergessen wurden.

Hackerparagraf

Hackerparagraf

Nach § 202c des deutschen Strafgesetzbuches (StGB) ist das Vorbereiten des Ausspähens und Abfangens von Daten ein Tatbestand, der mit einer Freiheitsstrafe von maximal zwei Jahren belegt werden kann. Der 2007 verabschiedete Paragraf stellt die Beschaffung und Verbreitung von Zugangscodes zu zugangsgeschützten Daten unter Strafe, sowie auch die Herstellung und den Gebrauch von Werkzeugen, die dafür genutzt werden könnten. Unter bestimmten Umständen gelten dabei auch die Herstellung und Verbreitung von „Hackertools“ als strafbar, da sie als „Vorbereitung einer Straftat“ gelten. Umgangssprachlich wird § 202c aus diesem Grund als Hackerparagraf bezeichnet.

202c Vorbereiten des Ausspähens und Abfangens von Daten

(1) Wer eine Straftat nach § 202a oder § 202b vorbereitet, indem er

  1. Passwörter oder sonstige Sicherungscodes, die den Zugang zu Daten (§ 202a Abs. 2) ermöglichen, oder
  2. Computerprogramme, deren Zweck die Begehung einer solchen Tat ist,

herstellt, sich oder einem anderen verschafft, verkauft, einem anderen überlässt, verbreitet oder sonst zugänglich macht, wird mit Freiheitsstrafe bis zu zwei Jahren oder mit Geldstrafe bestraft.

(2) § 149 Abs. 2 und 3 gilt entsprechend.

IT-Branchenverbände und Sicherheitsexperten kritisieren die sehr vage Definition, welche Software bereits als „Hackertool“ gilt. Hauptpunkt der Kritik ist, dass allein die Tatsache, dass ein Programm oder eine Information theoretisch zum Eindringen in fremde Computer genutzt werden könnte, dessen Herstellung, Beschaffung, Verkauf oder Verbreitung illegal macht. Bislang bestehen keine Ausnahmeregelungen, die den Einsatz für legale Zwecke erlauben, wie zum Beispiel bei der Forschung im Bereich der Antivirenprogramme. Daher sind auch Sicherheitsexperten, Programmierer und Internetseiten vom Hackerparagrafen betroffen, selbst wenn diese nicht beabsichtigen Nutzerdaten zu missbrauchen. Die European Expert Group for IT Security geht davon aus, dass gutartige Tätigkeiten im Sinne von IT-Sicherheitsmaßnahmen nach diesem Paragrafen nicht strafbar sind, wenn sie ausführlich dokumentiert werden.