Nextcloud – Private Cloud für Unternehmen

Nicht jede Wolke verheißt schlechtes Wetter. In der IT-Welt ist die Wolke derzeit durchaus positiv besetzt. Das Thema Cloud ist allgegenwärtig und es ist fast unmöglich, sich ihm zu entziehen. Aus gutem Grund, denn das Cloud-Prinzip bietet schließlich unbestrittene Vorteile, hat aber vor allem auf Unternehmensebene noch mit einigen Vorurteilen zu kämpfen. Privatpersonen können mit dem Thema Sicherheit mitunter noch relativ leger umgehen, denn ihre Daten sind in der Regel nicht so kritisch, dass sie in einem strikt abgeriegelten Bereich abgelegt müssen. Bei Unternehmen geht es dagegen schon ums Eingemachte. Denn hier ist Sicherheit und die Einhaltung von Datenschutz ein Muss. Ihre Kundendaten auf Servern in der USA, das ist vielen suspekt.

Nextcloud

Das ist aber auch nicht nötig, denn es gibt leistungsfähige europäische Unternehmen, die mit innovativer Software in Europa hosten, ganz gemäß der DSGVO. Auf Basis der Software Nextcloud bietet auch SaaS Web eine Business-Lösung als umfassende Cloud-Plattform. Im Gegensatz zu kommerziellen Speicherdiensten wie Dropbox, Microsoft OneDrive, WeTransfer oder Google Drive ist der Hosting Standort sowie der Dienstleister dafür frei wählbar, Nextcloud kann also auf einem eigenen Server installiert werden bzw. beim Anbieter seines Vertrauens. Mit Nextcloud sind die Unternehmensdaten sicher: sicher vor ungewollten fremden Zugriff (Passwortschutz, Ende-zu-Ende Verschlüsselung) und sicher verfügbar durch die kompetente Betreuung des Hosting Partners.

Die Lösung ist auch einfach in der Anwendung und flexibel einsetzbar. Einfach, weil sie problemlos auf Desktop, Mobil oder per Browser genutzt werden kann, für iPhone, Android und sogar Windows Mobile auch per kostenloser App. Flexibel, weil sie im Rahmen einer vielseitigen Nutzerverwaltung auch einen multidirektionalen Datenverkehr erlaubt, sodass optional etwa auch für Kunden oder von Kunden Daten hochgeladen werden können – sofern dieses Feature entsprechend freigeschaltet wurde. Der Speicherplatz kann in jedem Fall dem Bedarf angepasst werden. Und weil Nextcloud eine Open Source Lösung ist, gibt es bereits zahlreiche Anbieter, die in dem offiziellen Marketplace eigene Apps anbieten. Dazu können jederzeit eigene Erweiterungen programmiert werden.

SaaS Web bietet Unternehmen eine vollständige Erstinstallation im kundenspezifischen CI, die unter einer jeweils firmeneigenen Domain zu erreichen ist (z.B. cloud.musterfirma.de). Im Weiteren kümmert sich SaaS Web als Managed-Hosting-Dienstleister im Hintergrund um den reibungslosen Betrieb der Cloud-Plattform. Dazu zählt neben täglichen Backups und dem klassischen Update-Management auch das Monitoring der Anwendung mittels Routine-Tests im Minutentakt. Sowohl Performance als auch Speicherplatz können im Bedarfsfall schnell angepasst werden. Und in allen Fragen rund um die Plattform ist SaaS Web der direkte Ansprechpartner. So wird Nextcloud zu einer echten Business-Lösung – und ist weit mehr als ein wolkiges Versprechen.

DKIM Verifier Extension für Thunderbird

DKIM (DomainKeys Identified Mail) beschreibt ein Verfahren, um die Authentizität eines Mailabsender-Systems zu überprüfen. Sprich: wurde denn die Mail von person_X@firmendomain.tld auch wirklich von firmendomain.tld aus verschickt?

Damit dies funktioniert wird die Mail beim Absender-Mailsystem (asymmetrische Verschlüsselung private/public) signiert. Der Empfänger kann anschließend mit Hilfe eines Public Keys die Authentizität des Absender-Mailsystems überprüfen. Der Public Key wird als TXT Erweiterung als DNS-Eintrag der Domain veröffentlicht.

Diese doch einfache Überprüfung erhöht das Vertrauen, insbesondere bei bekannten Kommunikationsteilnehmern, schließlich kann damit schnell eine plumpe Fälschung des Absenders (From: Feld) enttarnt werden; es sollte dennoch stets darauf geachtet werden, dass die Mail (u. a. Absender-Domain) einem bekannt/vertrauenswürdig erscheint. Denn auch bösartige Mails lassen sich mit DKIM zertifizieren (wenn die Domain von Betrügern verwaltet wird)..
Beispiel:

  • Mail From: eBay, Betreff: Ihre Zugangsdaten aktualisieren
  • Anzeige zu DKIM in Thunderbird: DKIM gültig (signed by phishing.anonym-domain.com)

Die DKIM Prüfung gibt zwar eine korrekte DKIM Signatur an, es ist jedoch zu erwarten, dass eBay seine Mails nicht um eine Domain namens „phishing.anonym-domain.com“ verschickt..

Hier geht es zu der Add-On Seite im Mozilla Repository:
https://addons.mozilla.org/de/thunderbird/addon/dkim-verifier/

Die mobile Messenger Alternative: Threema

threema-logoThreema ist eine Instant-Messenger App für mobile Endgeräte mit dem Fokus auf Sicherheit. Die Verbindung wird Ende-zu-Ende verschlüsselt; es kann also keiner die Nachrichten mitlesen, auch nicht auf der Serverseite. Es lassen sich problemlos auch Bilder und Videos übermitteln.

Hersteller Website
Artikel auf Heise.de

ownCloud – der eigene Datenspeicher ganz privat

owncloud bietet die Möglichkeit, ganz einfach und bequem seine Daten auf einem virtuellen Laufwerk zu speichern und von überall zuzugreifen. Auch lassen sich Mediafiles direkt abspielen. Die Daten werden verschlüsselt abgespeichert und sind somit rein privat.

Hier ein ganz aktueller Beitrag auf dem Heise Newsticker zum Thema owncloud.

Das Produkt ist bei SaaS Web erhältlich, angefangen mit einem Speicherplatz von 5 GB und bis zu 3 Benutzer bis hin zu 200 GB und 20 Benutzern. Individuelle Konfigurationen sind auf Anfrage natürlich auch möglich.

Zum Produkt

Wie kann man automatisch verschlüsselte MySQL-Dumps erzeugen?

Jeder weiß, dass Backups wichtig sind — sei es ein Systemausfall oder man möchte einfach auf einen älteren Stand zurückgreifen, weil man einen Fehler gemacht hat.
Oft werden die Sicherungen durch Cron-Jobs erledigt. In den meisten Fällen jedoch wird ein einfacher Mysql-Dump erzeugt, ohne den Inhalt zu verschlüsseln.
In diesem Artikel beschreibe ich, wie man mit Hilfe von GPG Backups erstellen kann, ohne ein festgelegtes Passwort zu verwenden. Da es mehrere DB-Admins geben kann, die die Backups zurückspielen können, sollte jeder Admin, der berechtigt ist, mit seinem eigenen Passphrase das Backup wieder zurückspielen können.

#!/bin/bash

BACKUP_DIR=/var/backup/auto/mysql
DATE=$(date -I)
TARGET_DIR=$BACKUP_DIR/$DATE
mkdir -p $TARGET_DIR

DATABASES=$(mysql -uadmin -B -s -e“show databases;“)

for db in $DATABASES; do
TARGET=$TARGET_DIR/$db.sql.gz.gpg
echo -n dumping $db to $TARGET …
mysqldump -uadmin $db | gzip | gpg -rCAFEBABE -rAFFE4711 -rAFFEFACE -e – > $TARGET
if [ $PIPESTATUS -eq 0 ]; then echo OK; else echo ERROR; fi
done

Die Variable BACKUP_DIR gibt an, wo die Backups abgelegt werden sollen. Darunter wird ein Verzeichnis mit dem Datum in Form von JJJJ.MM.TT (date -I) angelegt, in dem die Dumps einzelner Datenbanken landen. Wer mehr als ein Backup pro Tag erzeugen will, kann dann diesen Befehl anpassen.

Beispielausgabe:


dumping mysql to /var/backup/auto/mysql/2012-04-06/mysql.sql.gz.gpg …OK
dumping test to /var/backup/auto/mysql/2012-04-06/test.sql.gz.gpg …OK

Was man bei diesem Script anpassen muss, sind die KEY/IDs der Empfänger, also wer die Daten später entschlüsseln darf. In diesem Beispiel sind drei Empfänger angegeben:

gpg -rCAFEBABE -rAFFE4711 -rAFFEFACE

Jeder Empfänger hat die Möglichkeit die Backupdateien zu entschlüsseln. GPG ermittelt den Key für den „Entschlüssler“ automatisch:

gpg -d mysql/2012-04-06/test.sql.gz.gpg | gunzip | head -n 5

You need a passphrase to unlock the secret key for
user: „XZY“
2048-bit ELG-E key, ID AFFEFACE, created…
Enter passphrase:

gpg: encrypted with 2048-bit RSA key, ID CAFEBABE…
gpg: encrypted with 2048-bit ELG-E key, ID AFFE4711…
gpg: encrypted with 2048-bit ELG-E key, ID AFFEFACE…

Die eigentliche Ausgabe erscheint dann in STDOUT:

-- MySQL dump 10.13 Distrib 5.1.56, for redhat-linux-gnu (x86_64)
--
-- Host: localhost Database: test
-- ------------------------------------------------------
-- Server version 5.1.56

Wer noch nicht viel mit GnuPG und MySQL-CLI zu tun hatte, sollte noch folgende Punkte beachten, bevor man das Beispiel ausführt:
– Keys aller Empfänger sollten vorher signiert/trusted sein, damit das Backup-Script nicht in den Interaktiv-Modus gerät
– Das Passwort für den Datenbankzugriff ist standardmäßig in der Datei ~/.my.cnf in der [client]-Sektion definiert

Viel Spaß beim Testen und Einbauen
C.

E-Mails signieren und verschlüsseln mit Enigmail und Thunderbird

Mit Enigmail kann man ohne großen Aufwand seine Mails signieren und/oder verschlüsseln (auch Attachments). Enigmail ist als Plug-In allerdings nur für Thunderbird und Seamonkey erhältlich und erfordert die Installation von GnuPG (http://www.gnupg.org/) bzw. Gpg4Win (http://www.gpg4win.org/). Hier ein kleines How-To wie man die Verschlüsselung in 5 Minuten einrichtet.

Bevor es los geht: in diesem Tutorial gehe ich davon aus, dass Sie bereits eine funktionierende Version von Thunderbird (mindestens Version 2) installiert haben. Auch behandelt dieses Tutorial nur die Einrichtung auf Windows (selbst nur mit Win7 Ultimate getestet). Für andere Plattformen sind die Besonderheiten allerdings größtenteils in Bezug auf die Installation von GnuPG/Gpg4Win beschränkt, daher sollte es nicht schwierig sein, diese Anleitung für MacOS X oder Linux zu nutzen. Die englischsprachige Dokumentation finden Sie hier: http://enigmail.mozdev.org/documentation/quickstart-ch1.php.html#id2487302. Obwohl in der offiziellen Dokumentation empfohlen wird GnuPG zu installieren, befasst sich diese Anletung mit der Nutzung von Gpg4Win.

  • Schritt 1: Gpg4Win installieren.
    Zuerst also die Software Gpg4Win runterladen und installieren. Beim Installieren, einfach die vorgegebenen Optionen und Pfade übernehmen. Ein Neustart des Rechners ist anschließend erforderlich.
  • Schritt 2: Mit Kleopatra ein Schlüsselpaar erzeugen.
    Gpg4Win bringt einige Tools mit, um zahlreiche individuelle Anpassungen zu ermöglichen. Sie starten jetzt Kleopatra – sollte in der Startleiste von Windows erscheinen, sonst unter „Alle Programme“ > „Gpg4Win“ > „Kleopatra“ auffindbar.
    Zum Erstellen eines Schlüsselpaares klicken Sie zunächst auf „Datei“ > „Neues Zertifikat“, und danach auf „Persönliches Open-PGP Schlüsselpaar erzeugen“. Wenn Sie selbst aussuchen wollen welches Verschlüsselungsverfahren genutzt werden soll, klicken Sie auf „Erweiterte Einstellungen“.

    • Schritt 2a: Erweiterte Einstellungen. Legen Sie die Verschlüsselungsmethode, die Nutzung des Zertifikates und die Gültigkeitsdauer fest. Beide Verfahren angebotene RSA und DSA (+Elgamal) sind gut,allgemein empfohlen wird doch offenbar häufiger DSA. Die Haken lassen Sie wie vorgeschlagen gesetzt, also zum Signieren und Verschlüsseln. Als Laufzeit sind 2 Jahre wie vorgeschlagen eine gute Auswahl.

    Sie klicken nun auf „weiter“ und schließlich auf „Schlüssel erzeugen“. Jetzt müssen Sie eine Passphrase eingeben, was nichts anderes als ein Passwort ist. Suchen Sie sich etwas kompliziertes aus, jedoch, woran Sie sich erinnern können… Am Besten sind Kombinationen aus Klein- und Großbuchstaben, Zahlen und Sonderzeichen. Die Länge Ihrer Passphrase sollte nicht weniger als 8 Zeichen betragen.

    • Schritt 2b: Öffentliche Schlüssel auf keys.gnupg.net ablegen. Sie können nur Ihren öffentlichen Schlüssel auf dem Community Server ablegen, wichtig für Kommunikationspartner, die so Ihre Identität prüfen können. Dort sind ggf. auch Informationen darüber zu finden, wie die Vertrauenskette um die gewünschte Identität aufgebaut ist.
  • Wenn Sie möchten können Sie nun auch eine Sicherung des kompletten Schlüsselpaares vornehmen (auf USB-Stick beispielsweise) oder den öffentlichen Schlüssel an Bekannte schicken.

  • Schritt 3: Enigmail Add-On installieren.
    Über „Extras“ > „Add-Ons“ gelangen Sie zu der Add-On Verwaltungsseite von Thunderbird. In dem Suchfeld oben geben Sie „Enigmail“ ein, wählen Sie das passende Suchergebnis aus und folgen dann den Instruktionen zum Installieren.
    • Schritt 3a: Enigmail konfigurieren. Die Standard-Einstellungen sind im Prinzip in Ordnung. Wenn Sie den Experten-Modus einschalten erscheinen alle verfügbaren Optionen, in verschiedenen Reitern angeordnet. Dort können Sie beispielsweise die Cachezeit der Passphrase definieren, uvm..

    Ein Neustart von Thunderbird ist zum Abschließen der Installation bzw. für die Inbetriebnahme von Enigmail erforderlich.

  • Schritt 4: E-Mails signieren und/oder verschlüsseln.
    Im Fenster zum Verfassen von neuen E-Mails einfach können Sie Auswählen, ob Sie signieren wollen oder verschlüsseln. Dazu selektieren Sie einfach die entsprechende Zeile im „OpenPGP“ Menue. Sonst ist alles wie gehabt. Das Add-On zeigt nun fortan an, wenn diese signiert oder verschlüsselt wurde, ob die Identität echt ist oder nicht. Auch lassen sich Informationen zu dem öffentlichen Schlüssel anzeigen.

Es ist jederzeit möglich nachträglich Anpassungen durchzuführen. In Thunderbird finden gibt es ein Menue „OpenPGP“ unter dem zahlreiche Optionen zur Verfügung stehen.

Wichtige Anmerkung: Enigmail hat noch einige Problemchen mit E-Mails, die in HTML geschrieben werden. Es wird geraten, das Verfassen der E-Mails in Thunderbird auf plain text zu ändern. Dazu gehen Sie einfach unter „Extras“ > „Konteneinstellungen“ > „Verfassen und Adressieren“ und entfernen den Haken bei „Nachrichten im HTML-Format verfassen“.

Mozilla Projekt Homepage: https://addons.mozilla.org/de/thunderbird/addon/enigmail/
Englischsprachige Dokumentation zu Gpg4Win: http://www.gpg4win.org/doc/en/gpg4win-compendium_11.html