Der Name Canary Tokens kommt von den Kanarienvögeln, die früher in Kohleminen eingesetzt wurden, um giftige Gase frühzeitig zu erkennen. Ein Canary Token ist ein bewusst platzierter Köder, der ebenso der Früherkennung dient. Das kann eine Datei, ein Link, ein scheinbarer API-Key oder eine gefälschte Zugangsinformation sein. Canary Tokens sind keine klassische Spyware und auch kein „Zurückhacken“, sie verschaffen keinen Zugriff auf das Gerät des Angreifers. Je nach Token-Typ werden technische Informationen wie Zeitpunkt, IP-Adresse, ungefährer Standort oder verwendeter Client zurückgemeldet, sobald jemand den Token öffnet oder verwendet.
Ein Beispiel wäre passwörter2026.xlsx - sehr interessant für Angreifer.
So erstellt man ein präpariertes Excel-File:
Auf canarytokens.org: Create Microsoft Excel Token
Mail me here when the alert fires: Hier Mailadresse eintragen, wohin der Alert geschickt werden soll. Es bietet sich an, eine Relay Adresse zu verwenden, diese sollte Push-Nachrichten aktiviert haben, damit man keinen Alert verpasst.
Remind me of this when the alert fires: Beschreibung eingeben, damit man zuordnen kann, welcher Token den Alarm sendet - hilfreich vorallem, wenn man mehrere aktive Tokens hat.
Optional kann man auch einen Webhook angeben, eine Webapp, die auf den Alert wartet (HTTP POST zum Webhook muss funktionieren).
Klick auf Create Canary Token
Auf der nächsten Seite kann man das fertig präparierte Excel File herunterladen. Damit der Angreifer nicht erkennt, dass es ein Köder ist, sollte man die Datei unbedingt umbenennen, das beeinträchtigt den Token nicht.
WICHTIG: unter Manage Canary Token erhält man den Link, wohin alle Alerts des Tokens gesendet werden und dort kann man den Token auch deaktivieren und löschen. Der Link sieht in etwa so aus:
Auf Canarytokens.org kann man derzeit 32 unterschiedliche Token erstellen.
CanaryTokens.org gehört zum Thinkst-Canary-Ökosystem, dahinter steht Thinkst Applied Research, ein südafrikanisches Unternehmen. Der Gründer ist Haroon Meer, ein südafrikanischer Security-Researcher.
Letzte Woche sind wir aus Outlook, Sharepoint, Copilot, etc. ausgestiegen. Ich habe berichtet, dass dienstliche Korrespondenz vom Dienstgeber mitgelesen werden kann und darf.
Private Mails mit der Dienstadresse?
Dies kann ganz unterschiedlich geregelt sein. Manche Unternehmen haben ganz klar geregelt, dass die Dienstmailadresse nicht für Privates genutzt werden darf, da muss ich dann wohl oder übel in Kauf nehmen, dass der Dienstgeber mitlesen kann. Gibt es in einer Firma die ausdrückliche Erlaubnis, dass der Account auch privat genutzt werden darf, so ist es dem DG verboten, private Kommunikation zu lesen. Meistens wird aber keine Regelung existieren, daher gilt ebenfalls: dienstliche Korrespondenz kann und darf mitgelesen werden, Privates ist Tabu.
Eine gute erste Maßnahme ist die Anlage eines Ordners mit dem Namen “PRIVATKORRESPONDENZ_keine_dienstliche_Einsicht”. Dies stellt eindeutig klar, wo die Grenze ist. Mit Regeln kann ich so Emails von bestimmten Personen automatisch in diesen Ordner leiten. Ein Ordnername ist eine Kennzeichnung, hält aber tatsächlich niemanden technisch davon ab, den Inhalt trotzdem anzusehen, so lange ich die Mails nicht in den Lokalen Ordner verschoben habe.
Was ich tun kann, um zu wissen, ob und wann jemand einen Ordner widerrechtlich betreten hat, zeige ich nächste Woche.
Microsoft Office 365 speichert alles in Sharepoint, z.B. E-Mails und Anhänge aus Outlook und alle Files aus Teams. Mit Programmen wie Purview (s.u.) kann der MS Office Administrator die E-Mails und Anhänge direkt lesen. In Österreich ist das “prinzipiell nicht verboten”(sic!).
Seit 2025 gibt es die Cloud-Region „Austria East“ mit drei Rechenzentren rund um Wien, damit Daten auf Wunsch(!) innerhalb Österreichs gespeichert werden können. Zusätzlich verweist Microsoft auf die EU-Datengrenze für viele Dienste. Microsoft verspricht keine absolute digitale Souveränität, sondern ein Bündel an Kontrollen, die Zugriffe erschweren, begrenzen, dokumentieren und teilweise vom Kunden abhängig machen. Microsoft schließt vor allem unkontrollierten Zugriff aus, nicht jeden Zugriff. Möglich bleiben insbesondere rechtlich erzwungene Offenlegungen, kontrollierte Microsoft-Supportzugriffe und Ausnahmen/Transfers trotz EU-Datengrenze.
Quelle: Wie Microsoft digitale Souveränität in Österreich ermöglicht
Products provided by your organization—notice to end users If you use a Microsoft product with an account provided by an organization you are affiliated with, such as your work or school account, that organization can:
[list]
[*]Control and administer your Microsoft product and product account, including controlling privacy-related settings of the product or product account.
[*]Access and process your data, including the interaction data, diagnostic data, and the contents of your communications and files associated with your Microsoft product and product accounts.[/list]
Mozilla Thunderbird ist ebenso wie Firefox aus europäischer Sicht interessant, weil es eine unabhängige Alternative zu den großen, eng an Cloud-Plattformen gebundenen Mail-Ökosystemen ist.
Der E-Mail Client Thunderbird hat ein Konto namens Lokale Ordner - ein besonderes Konto, da keine Identitäten mit ihm verknüpft sind. Wenn ich Mails und meine ganze Ordnerstruktur dorthin verschiebe, dann verschwinden sie aus Sharepoint. Um das Backup muss ich mich allerdings selbst kümmern, dazu später. Aus dem lokalen Ordner heraus kann ich wie gewohnt antworten und weiterleiten.
So lange die Mails am Server liegen, sind sie dort mit Purview einsehbar. Ein automatisches Verschieben bei Eintreffen funktioniert leider nicht, da die lokalen Ordner nur bei eingeschaltetem Laptop und laufendem Thunderbird verfügbar sind. Man kann die Speicherdauer am Server und somit die Chance auf ungewolltes Mitlesen durch Dritte reduzieren, aber nicht eliminieren. Die allerbeste Privacy hat man, wenn man eine Nicht-Microsoft-Mailadresse verwendet. Nächste Woche werde ich mich mit E-Mails und dienstlicher Einsichtnahme beschäftigen.
Endgültigen Ordner in Outlook Web leeren
Ordner „Gelöschte Elemente“ leeren
„Recover items deleted from this folder“ → „Empty folder“
Automatisches Backup der lokalen Ordner
Proton Drive kann Dateien und ganze Ordner synchronisieren. Im Gegensatz zu Microsoft OneDrive werden die Files aber nicht von Originalspeicherplatz in einen speziellen Synchronisierungsordner verschoben, sondern bleiben in der gewohnten Ordnerhierarchie. In Thunderbird kann man in den Konteneinstellungen den Speicherplatz der lokalen Ordner einsehen und konfigurieren.
Schieberegler nach rechts schieben, um die Synchronisierung für den gewählten Ordner einzuschalten
Selbstverständlich kann ProtonDrive nicht nur MailBackups synchronisieren, je nach Abo steht unterschiedlich viel Speicherplatz zur Verfügung - bei Proton Unlimited beispielsweise 500 GB. Für mich ist das ausreichend, da nicht alle Daten live synchronisiert werden müssen. Alles, was sich nicht oder selten ändert, liegt in der Hetzner Storage Box, wie in Folge #2 beschrieben.
Wir alle wissen, dass es keine gute Idee ist, die Passwörter im Browser zu speichern, trotzdem sind wir oft zu bequem, um es nicht zu tun. Wir beachten die Sicherheitsempfehlungen, lange sichere Passwörter zu verwenden, aber niemals dasselbe Passwort bei unterschiedlichen Plattformen. Vielleicht verwenden wir sogar einen Passwortmanager, aber wenn manche Websites uns nach 5 Minuten ausloggen und wir den Zugang aber gefühlt alle 15 Minuten benötigen, dann nehmen wir nur zu gerne das Angebot an, dass die Credentials im Browser gespeichert werden, oder?! ;)
Im Browser gespeicherte Passwörter sind generell fragwürdig. KeePass speichert die Passwörter in einer kbdx Datei offline und verschlüsselt, man muss allerdings jedes Mal das Passwort herauskopieren und auf der Website einfügen.
Proton Pass gibt es als Plugin für Firefox und es bietet das automatische Ausfüllen an, obwohl die Passwörter lokal gespeichert sind. Ich muss mir nur den Entsperrcode für das Plugin merken. Synchronisierung zwischen Devices ist mit Proton Account möglich. Die Übertragung erfolgt verschlüsselt. Die Credentials lassen sich in Gruppen einteilen, sortieren und verwalten. Bei einer Passwortänderung werde ich gefragt, ob ich den Eintrag aktualisieren will. Wenn ich einen neuen Login erstelle, bietet mir Proton auch die Erstellung eines sicheren Passworts an.
Ein Wort zu Browsern
Ich nutze gerne verschiedene Browser, vor allem wenn ich meine Website optimiere. Allerdings habe ich einen erklärten Favoriten: die Firefox Developer Edition
Firefox ist aus europäischer Sicht die beste Wahl, weil Mozilla als gemeinnützige Organisation auftritt und Firefox als wichtiger Gegenpol zu den Chromium-Browsern gilt. Das ist für Europa interessant, weil es digitale Vielfalt, offene Standards und die Unabhängigkeit von den ganz großen Plattformen stärkt.
Vivaldi ist aus europäischer Sicht ebenfalls sehr sympathisch, weil das Unternehmen unabhängig ist und seinen Sitz in Norwegen und Island angibt. Es ist aber technisch trotzdem ein Chromium-Browser, also nicht unabhängig von Googles Browser-Basis.
Brave ist stark beim Datenschutz und blockiert Tracker standardmäßig, ist aber ein US-Produkt und ebenfalls Chromium-basiert. Europäisch gedacht ist er daher gut für Privatsphäre, aber nicht für technologische Unabhängigkeit von Chromium.
Opera wirbt mit „built in Europe“ und nennt Datenspeicherung in Europa für bestimmte freigegebene Daten, ist aber heute kein klassisch unabhängiger europäischer Gegenpol mehr und ebenfalls Chromium-basiert.
Mit Chrome, Edge und Safari bekomme ich Komfort statt Souveränität, daher am besten weg damit.
MultifaktorAuthentifizierung ist eine einfache, aber sehr wirksame zusätzliche Sicherheitsmaßnahme, die es für Angreifer schwieriger macht, meinen Account zu übernehmen. Selbst wenn mein Passwort in falsche Hände gerät, fehlt der zweite Faktor, zum Beispiel ein Code am Handy oder eine Authenticator-App. Bisher habe ich Google Authenticator genutzt - das legt allerdings meine sämtlichen Logins in die Hände von Google, also weg damit.
Proton Authenticator kann die Logs als passwortgeschütztes json File speichern. Mittels Handy App und Desktop App kann der Authenticator parallel am Handy und Laptop genutzt werden. Synchronisierung zwischen meinen Geräten ist durch meinen Proton Account möglich.
Ausstieg aus Google Authenticator und Transfer zu Proton Authenticator
Google bietet zwar den Direktexport an, aber nur zu einem anderen Handy, da QR Codes mit der App gescannt werden müssen. Ich habe mir mit einem alten Handy geholfen.
Auf dem aktuellen Handy Google Authenticator öffnen, –> Export –> erzeugt mehrere QR Codes (abhängig von der Anzahl der AuthCodes, je 10 pro QR Code)
Auf dem alten Handy Google Authenticator öffnen, Import –> QR Code scannen (alle der Reihe nach)
Auf dem alten Handy kontrollieren, ob alle Codes da sind, –> Export
Auf dem aktuellen Handy Proton Authenticator öffnen, Import –> QR Code scannen
Auf dem aktuellen Handy kontrollieren, ob alle Codes da sind
Auf dem alten Handy beenden und alle Codes löschen!
Auf dem aktuellen Handy im Google Authenticator alle Codes löschen, danach die App deinstallieren
Bevor ich meinen Ausstieg aus Microsoft Office dokumentiere, werde ich nächste Woche noch einen Artikel über Browser, Passwortsicherheit und Passwortmanager veröffentlichen.
