Wenn wir über digitale Souveränität reden, sprechen wir meistens über Cloud, Messenger, Office, Betriebssysteme und Big Tech. Alles richtig. Aber irgendwann sitzt man trotzdem vor einem Laptop. Ganz ehrlich: Einen vollständig europäischen Laptop gibt es praktisch nicht. Die Bauteile kommen aus internationalen Lieferketten. Aber egal ist es trotzdem nicht, wo man kauft.
Interessant sind für mich vor allem Schenker/XMG und TUXEDO Computers. Beide kommen aus Deutschland, beide setzen auf konfigurierbare Geräte, beide sind näher an der digitalen Souveränität dran als andere Hersteller. Positiv ist auch: Bei XMG/Schenker und TUXEDO ist Aufrüstbarkeit nicht nur Marketing. RAM- und SSD-Upgrades sowie Wartung sind ausdrücklich vorgesehen. Bei sachgerechtem Vorgehen verliert man laut Herstellerangaben nicht automatisch die Garantie. Wer beim Umbau etwas beschädigt, kann dafür natürlich nicht den Hersteller verantwortlich machen, aber allein das Öffnen des Geräts ist hier nicht das Problem.
Schenker/XMG aus Leipzig bietet neben Businessgeräten auch starke Gaming-Laptops an.
TUXEDO Computers finde ich besonders spannend, weil die Geräte auf Linux ausgelegt sind.
Natürlich macht ein europäischer Anbieter noch keinen perfekten souveränen Laptop. Wenn Windows drauf läuft, hängt man trotzdem wieder tief im Microsoft-Ökosystem. Wenn die Cloud daneben OneDrive heißt, ist auch nicht viel gewonnen. Und die Hardware-Lieferkette bleibt global. Aber: europäische Firma, europäischer Support, transparente Konfiguration, Linux-Fokus und reparaturfreundlichere Ansätze sind trotzdem Schritte in die richtige Richtung.
Nebenbei kann man sich auch Slimbook aus Spanien anschauen.
Ich habe vor, über den Sommer auf Linux zu wechseln - die Entscheidung über die Hardware habe ich noch nicht endgültig getroffen. Stay tuned!
Der Name Canary Tokens kommt von den Kanarienvögeln, die früher in Kohleminen eingesetzt wurden, um giftige Gase frühzeitig zu erkennen. Ein Canary Token ist ein bewusst platzierter Köder, der ebenso der Früherkennung dient. Das kann eine Datei, ein Link, ein scheinbarer API-Key oder eine gefälschte Zugangsinformation sein. Canary Tokens sind keine klassische Spyware und auch kein „Zurückhacken“, sie verschaffen keinen Zugriff auf das Gerät des Angreifers. Je nach Token-Typ werden technische Informationen wie Zeitpunkt, IP-Adresse, ungefährer Standort oder verwendeter Client zurückgemeldet, sobald jemand den Token öffnet oder verwendet.
Ein Beispiel wäre passwörter2026.xlsx - sehr interessant für Angreifer.
So erstellt man ein präpariertes Excel-File:
Auf canarytokens.org: Create Microsoft Excel Token
Mail me here when the alert fires: Hier Mailadresse eintragen, wohin der Alert geschickt werden soll. Es bietet sich an, eine Relay Adresse zu verwenden, diese sollte Push-Nachrichten aktiviert haben, damit man keinen Alert verpasst.
Remind me of this when the alert fires: Beschreibung eingeben, damit man zuordnen kann, welcher Token den Alarm sendet - hilfreich vorallem, wenn man mehrere aktive Tokens hat.
Optional kann man auch einen Webhook angeben, eine Webapp, die auf den Alert wartet (HTTP POST zum Webhook muss funktionieren).
Klick auf Create Canary Token
Auf der nächsten Seite kann man das fertig präparierte Excel File herunterladen. Damit der Angreifer nicht erkennt, dass es ein Köder ist, sollte man die Datei unbedingt umbenennen, das beeinträchtigt den Token nicht.
WICHTIG: unter Manage Canary Token erhält man den Link, wohin alle Alerts des Tokens gesendet werden und dort kann man den Token auch deaktivieren und löschen. Der Link sieht in etwa so aus:
Auf Canarytokens.org kann man derzeit 32 unterschiedliche Token erstellen.
CanaryTokens.org gehört zum Thinkst-Canary-Ökosystem, dahinter steht Thinkst Applied Research, ein südafrikanisches Unternehmen. Der Gründer ist Haroon Meer, ein südafrikanischer Security-Researcher.
Letzte Woche sind wir aus Outlook, Sharepoint, Copilot, etc. ausgestiegen. Ich habe berichtet, dass dienstliche Korrespondenz vom Dienstgeber mitgelesen werden kann und darf.
Private Mails mit der Dienstadresse?
Dies kann ganz unterschiedlich geregelt sein. Manche Unternehmen haben ganz klar geregelt, dass die Dienstmailadresse nicht für Privates genutzt werden darf, da muss ich dann wohl oder übel in Kauf nehmen, dass der Dienstgeber mitlesen kann. Gibt es in einer Firma die ausdrückliche Erlaubnis, dass der Account auch privat genutzt werden darf, so ist es dem DG verboten, private Kommunikation zu lesen. Meistens wird aber keine Regelung existieren, daher gilt ebenfalls: dienstliche Korrespondenz kann und darf mitgelesen werden, Privates ist Tabu.
Eine gute erste Maßnahme ist die Anlage eines Ordners mit dem Namen “PRIVATKORRESPONDENZ_keine_dienstliche_Einsicht”. Dies stellt eindeutig klar, wo die Grenze ist. Mit Regeln kann ich so Emails von bestimmten Personen automatisch in diesen Ordner leiten. Ein Ordnername ist eine Kennzeichnung, hält aber tatsächlich niemanden technisch davon ab, den Inhalt trotzdem anzusehen, so lange ich die Mails nicht in den Lokalen Ordner verschoben habe.
Was ich tun kann, um zu wissen, ob und wann jemand einen Ordner widerrechtlich betreten hat, zeige ich nächste Woche.
