StachSpace Blog

• Worauf balanciert dieses Taxi?
• In welcher Stadt befindet es sich?
• Vor welchem Gebäude?
• Was war im Juni 2022 anders?

Workshop Ethical Hacking

Trainerin: Prof. Ing. Angela Stach BEd MEd

Ort: HTL Spengergasse, Spengergasse 20, 1050 Wien

Manche Informationen sind einfach nur gut versteckt. In diesem Workshop lernst du, sie zu finden: in Bildern, Karten, Codes und im Netzwerk selbst. Du entschlüsselst geheime Nachrichten, beobachtest Daten live im Netzwerk und testest im Labor, was passiert, wenn viele Geräte gleichzeitig ein System unter Druck setzen.

Ihr braucht keine Vorkenntnisse!

Microsoft Office 365 speichert alles in Sharepoint, z.B. E-Mails und Anhänge aus Outlook und alle Files aus Teams. Mit Programmen wie Purview (s.u.) kann der MS Office Administrator die E-Mails und Anhänge direkt lesen. In Österreich ist das “prinzipiell nicht verboten”(sic!).

Seit 2025 gibt es die Cloud-Region „Austria East“ mit drei Rechenzentren rund um Wien, damit Daten auf Wunsch(!) innerhalb Österreichs gespeichert werden können. Zusätzlich verweist Microsoft auf die EU-Datengrenze für viele Dienste. Microsoft verspricht keine absolute digitale Souveränität, sondern ein Bündel an Kontrollen, die Zugriffe erschweren, begrenzen, dokumentieren und teilweise vom Kunden abhängig machen. Microsoft schließt vor allem unkontrollierten Zugriff aus, nicht jeden Zugriff. Möglich bleiben insbesondere rechtlich erzwungene Offenlegungen, kontrollierte Microsoft-Supportzugriffe und Ausnahmen/Transfers trotz EU-Datengrenze.
Quelle: Wie Microsoft digitale Souveränität in Österreich ermöglicht

Products provided by your organization—notice to end users If you use a Microsoft product with an account provided by an organization you are affiliated with, such as your work or school account, that organization can:
[list]
[*]Control and administer your Microsoft product and product account, including controlling privacy-related settings of the product or product account.
[*]Access and process your data, including the interaction data, diagnostic data, and the contents of your communications and files associated with your Microsoft product and product accounts.[/list]

(Quelle: https://www.microsoft.com/en-us/privacy/privacystatement#mainnoticetoendusersmodule)

Das Lesen der Mails und Anhänge funktioniert mit Microsoft Purview.

Mails lokal speichern mit Thunderbird

Mozilla Thunderbird ist ebenso wie Firefox aus europäischer Sicht interessant, weil es eine unabhängige Alternative zu den großen, eng an Cloud-Plattformen gebundenen Mail-Ökosystemen ist.

Der E-Mail Client Thunderbird hat ein Konto namens Lokale Ordner - ein besonderes Konto, da keine Identitäten mit ihm verknüpft sind. Wenn ich Mails und meine ganze Ordnerstruktur dorthin verschiebe, dann verschwinden sie aus Sharepoint. Um das Backup muss ich mich allerdings selbst kümmern, dazu später. Aus dem lokalen Ordner heraus kann ich wie gewohnt antworten und weiterleiten.

So lange die Mails am Server liegen, sind sie dort mit Purview einsehbar. Ein automatisches Verschieben bei Eintreffen funktioniert leider nicht, da die lokalen Ordner nur bei eingeschaltetem Laptop und laufendem Thunderbird verfügbar sind. Man kann die Speicherdauer am Server und somit die Chance auf ungewolltes Mitlesen durch Dritte reduzieren, aber nicht eliminieren. Die allerbeste Privacy hat man, wenn man eine Nicht-Microsoft-Mailadresse verwendet. Nächste Woche werde ich mich mit E-Mails und dienstlicher Einsichtnahme beschäftigen.

Endgültigen Ordner in Outlook Web leeren

• Ordner „Gelöschte Elemente“ leeren
• „Recover items deleted from this folder“ → „Empty folder“

Automatisches Backup der lokalen Ordner

Proton Drive kann Dateien und ganze Ordner synchronisieren. Im Gegensatz zu Microsoft OneDrive werden die Files aber nicht von Originalspeicherplatz in einen speziellen Synchronisierungsordner verschoben, sondern bleiben in der gewohnten Ordnerhierarchie. In Thunderbird kann man in den Konteneinstellungen den Speicherplatz der lokalen Ordner einsehen und konfigurieren.

Synchronisierung in Proton Drive einschalten:

• Proton Drive –> Mein Computer –> Ordner hinzufügen (Pfad zu Thunderbirds “Lokale Ordner”)
• Schieberegler nach rechts schieben, um die Synchronisierung für den gewählten Ordner einzuschalten

Selbstverständlich kann ProtonDrive nicht nur MailBackups synchronisieren, je nach Abo steht unterschiedlich viel Speicherplatz zur Verfügung - bei Proton Unlimited beispielsweise 500 GB. Für mich ist das ausreichend, da nicht alle Daten live synchronisiert werden müssen. Alles, was sich nicht oder selten ändert, liegt in der Hetzner Storage Box, wie in Folge #2 beschrieben.

Wir alle wissen, dass es keine gute Idee ist, die Passwörter im Browser zu speichern, trotzdem sind wir oft zu bequem, um es nicht zu tun. Wir beachten die Sicherheitsempfehlungen, lange sichere Passwörter zu verwenden, aber niemals dasselbe Passwort bei unterschiedlichen Plattformen. Vielleicht verwenden wir sogar einen Passwortmanager, aber wenn manche Websites uns nach 5 Minuten ausloggen und wir den Zugang aber gefühlt alle 15 Minuten benötigen, dann nehmen wir nur zu gerne das Angebot an, dass die Credentials im Browser gespeichert werden, oder?! ;)

Im Browser gespeicherte Passwörter sind generell fragwürdig. KeePass speichert die Passwörter in einer kbdx Datei offline und verschlüsselt, man muss allerdings jedes Mal das Passwort herauskopieren und auf der Website einfügen.

Proton Pass gibt es als Plugin für Firefox und es bietet das automatische Ausfüllen an, obwohl die Passwörter lokal gespeichert sind. Ich muss mir nur den Entsperrcode für das Plugin merken. Synchronisierung zwischen Devices ist mit Proton Account möglich. Die Übertragung erfolgt verschlüsselt. Die Credentials lassen sich in Gruppen einteilen, sortieren und verwalten. Bei einer Passwortänderung werde ich gefragt, ob ich den Eintrag aktualisieren will. Wenn ich einen neuen Login erstelle, bietet mir Proton auch die Erstellung eines sicheren Passworts an.

Ein Wort zu Browsern

Ich nutze gerne verschiedene Browser, vor allem wenn ich meine Website optimiere. Allerdings habe ich einen erklärten Favoriten: die Firefox Developer Edition
Firefox ist aus europäischer Sicht die beste Wahl, weil Mozilla als gemeinnützige Organisation auftritt und Firefox als wichtiger Gegenpol zu den Chromium-Browsern gilt. Das ist für Europa interessant, weil es digitale Vielfalt, offene Standards und die Unabhängigkeit von den ganz großen Plattformen stärkt.

Vivaldi ist aus europäischer Sicht ebenfalls sehr sympathisch, weil das Unternehmen unabhängig ist und seinen Sitz in Norwegen und Island angibt. Es ist aber technisch trotzdem ein Chromium-Browser, also nicht unabhängig von Googles Browser-Basis.

Brave ist stark beim Datenschutz und blockiert Tracker standardmäßig, ist aber ein US-Produkt und ebenfalls Chromium-basiert. Europäisch gedacht ist er daher gut für Privatsphäre, aber nicht für technologische Unabhängigkeit von Chromium.

Opera wirbt mit „built in Europe“ und nennt Datenspeicherung in Europa für bestimmte freigegebene Daten, ist aber heute kein klassisch unabhängiger europäischer Gegenpol mehr und ebenfalls Chromium-basiert.

Mit Chrome, Edge und Safari bekomme ich Komfort statt Souveränität, daher am besten weg damit.

MultifaktorAuthentifizierung ist eine einfache, aber sehr wirksame zusätzliche Sicherheitsmaßnahme, die es für Angreifer schwieriger macht, meinen Account zu übernehmen. Selbst wenn mein Passwort in falsche Hände gerät, fehlt der zweite Faktor, zum Beispiel ein Code am Handy oder eine Authenticator-App. Bisher habe ich Google Authenticator genutzt - das legt allerdings meine sämtlichen Logins in die Hände von Google, also weg damit.

Meine Wahl fällt auf Proton Authenticator: https://proton.me/authenticator

Proton Authenticator kann die Logs als passwortgeschütztes json File speichern. Mittels Handy App und Desktop App kann der Authenticator parallel am Handy und Laptop genutzt werden. Synchronisierung zwischen meinen Geräten ist durch meinen Proton Account möglich.

Ausstieg aus Google Authenticator und Transfer zu Proton Authenticator

Google bietet zwar den Direktexport an, aber nur zu einem anderen Handy, da QR Codes mit der App gescannt werden müssen. Ich habe mir mit einem alten Handy geholfen.

1. Auf dem aktuellen Handy Google Authenticator öffnen, –> Export –> erzeugt mehrere QR Codes (abhängig von der Anzahl der AuthCodes, je 10 pro QR Code)
2. Auf dem alten Handy Google Authenticator öffnen, Import –> QR Code scannen (alle der Reihe nach)
3. Auf dem alten Handy kontrollieren, ob alle Codes da sind, –> Export
4. Auf dem aktuellen Handy Proton Authenticator öffnen, Import –> QR Code scannen
5. Auf dem aktuellen Handy kontrollieren, ob alle Codes da sind
6. Auf dem alten Handy beenden und alle Codes löschen!
7. Auf dem aktuellen Handy im Google Authenticator alle Codes löschen, danach die App deinstallieren

Bevor ich meinen Ausstieg aus Microsoft Office dokumentiere, werde ich nächste Woche noch einen Artikel über Browser, Passwortsicherheit und Passwortmanager veröffentlichen.