WordPress – Einen geschützten Kundenbereich in WordPress einrichten

Einen geschützten Kundenbereich in WordPress einrichten

vor 5 Jahren

Kim Salewski

Funktion

Haben Sie schon einmal überlegt, einen geschützten Kunden- oder Mitgliederbereich für Ihre Website einzurichten? Es gibt unzählige Membership-Plug-ins im großen, weiten Internet, genau so wie es unzählige Anforderungen an Mitgliederbereiche gibt. Kein Wunder, dass man dafür oftmals eine Menge Zeit und Energie investieren muss, um eine geeignete Lösung zu finden.

Inhalt

Worum geht es?

Manche Mitgliedschaften sollen z.B. gekauft werden können, andere wiederum sollen nach einer gewissen Zeit ablaufen, wieder andere sollen komplett kostenlos sein und lediglich Inhalte für Kunden oder Kursmitglieder zur Verfügung stellen. In diesem Beitrag gehen wir auf einen Mitgliederbereich ein, in welchem sie Dateien zum Download in einem geschützten Kunden- oder Mitgliedsbereich bereitstellen können.

Was ist der Plan?

In dem beschriebenen Beispiel gehen wir davon aus, dass Sie einen oder mehrere Kurse/Schulungen anbieten. Ihren Kursteilnehmern möchten Sie Download-Dateien wie Infohefte, Aufgabenzettel oder ähnliches auf Ihrer Website in einem geschützten Bereich zum Herunterladen bereitstellen. (Natürlich könnte es sich auch um einen geschützten Bereich handeln, bei denen Sie Ihren Kunden zum Beispiel Preislisten zum Download anbieten. Das Vorgehen ist das gleiche.)

In einem ersten Schritt richten wir einen Mitgliederbereich ein, in dem Kursteilnehmer sich mittels eines spezifischen Benutzernamen und Passwortes einloggen können. Diese Daten erhalten die Kursteilnehmer von Ihnen zum Beispiel per E-Mail oder per Post. Durch eine Log-in-Seite auf Ihrer Website melden sich die Kursteilnehmer an und werden daraufhin direkt auf die entsprechende Kursseite weitergeleitet, auf die Sie Zugriff haben. Hier können sie die gewünschten Dateien herunterladen.

Was wir benötigen

  • Eine Log-in-Seite
  • Eine Mitgliedschaft sowie ausgewählte Benutzerdaten pro Kurs, mit dem sich Kursteilnehmer zukünftig zum Herunterladen Ihrer Dateien anmelden können
  • Die Möglichkeit, nach Log-in direkt zur entsprechenden Downloadseite weitergeleitet zu werden
  • Geschütze Downloads, die nur von angemeldeten Benutzern heruntergeladen werden können

Das alles werden wir mit Hilfe von nur drei Plug-ins umsetzen. Das erste Plug-in Simple Membership dient der Erstellung eines Mitgliederbereiches. Mit dem zweiten Plug-in, der Erweiterung After Login Redirection, erstellen wir die Umleitung nach dem Log-in. Das dritte Plug-in, genannt Download Monitor, sorgt dafür, dass auf bestimmte Dateien nur zugegriffen werden kann, wenn der Besucher eingeloggt ist. Dies verhindert den Zugriff von nicht angemeldeten Besuchern auf die Dateien, die sonst durch einen Permalink für alle aufrufbar wären.

Installation des Plug-ins Simple Membership

Die Installation der Plug-ins läuft wie gewohnt ab. Unter Plug-ins im Backend suchen Sie unter Installieren nach dem Plug-in Simple Membership. Dieses installieren und aktivieren Sie.

Simple Membership installieren
Bei der Aktivierung werden automatisch die folgenden Seiten angelegt:

Von Simple Membership angelegte Seiten
Diese Seiten regeln über die in ihnen automatisch angelegten Shortcodes, welche Funktion jeweils durchgeführt werden. Die Join Us Seite ist eine Beispiel-Seite, die zeigt wie Sie Ihre Mitgliedschaften präsentieren können, sofern es für Besucher möglich sein soll, sich selbst zu registrieren. Die Registration-Seite ist die Seite, auf der Besucher sich für eine Mitgliedschaft registrieren können. Beim Membership Login melden sich Mitglieder mit Ihrem Benutzernamen und Passwort an, um Zugriff auf Ihre Mitgliedsseiten zu erhalten. Unter Passwort Reset werden Passwörter zurückgesetzt und das Profile zeigt dem Besucher die Daten an, die bei dem Benutzer hinterlegt sind (hier kann er diese ggf. auch ändern).

Anpassen der Log-in Seite

Soviel zu der Erklärung der einzelnen Seiten. Für unser oben genanntes Beispiel löschen Sie bitte die folgenden Seiten:

Folgende Simple Membership Seite benötigen Sie
Wir benötigen lediglich den Membership Login, über welchen Ihre Nutzer sich anmelden können. Es sollen sich keine neuen Benutzer registrieren können, auch das Passwort und die restlichen Benutzerdaten sollen lediglich von Ihnen selbst im Backend geändert werden können, weshalb die restlichen Seiten wegfallen. Genau so wie die Join Us Seite, die somit überflüssig wird.

Während Sie dabei sind, die Seitenanzahl zu reduzieren, benennen Sie gleich die Membership Login Seite in Login um, damit es hier später nicht zu Verwirrungen kommt. Vergessen Sie dabei nicht, auch den Permalink anzupassen.

Log-in Seite anpassen
Wenn Sie diese Anpassungen vorgenommen haben, wird es nun Zeit, Einstellungen in Simple Membership an sich vorzunehmen. Hierzu suchen Sie in der Seitenleiste den Punkt WP Mitgliedschaften und wählen in dem Untermenü Einstellungen aus.

Im Allgemeinen lassen Sich hier allerlei Einstellungen vornehmen, die interessant für Sie sind, wenn Sie z.B. Mitgliedschaften anbieten wollen, zu denen sich Ihre Besucher registrieren sollen. Für unseren Fall sind aber bereits alle Einstellungen ausreichend eingestellt. Lediglich die URLs unter Seiteneinstellungen müssen gemäß unserer Änderungen an den Seiten angepasst werden.

die Seite unter Einstellungen eintragen
Wir benötigen nämlich nur die URL der Login Seite in jedem Feld. Das verhindert zum einen, dass später Fehlermeldungen erscheinen. Zum anderen werden erreichen die Kursteilnehmer nie Seiten wie Passwort zurücksetzen und können so keinen Unsinn treiben.

Eine Mitgliedschaftsstufe einrichten

Nun ist es soweit, es wird Zeit, die Mitgliedschaft oder auch Mitgliedschaftsstufe für Ihre Benutzer einzurichten. Diese regelt, welcher Benutzer was sehen darf. Ein kleines Beispiel:

Sie richten eine Mitgliedschaftsstufe mit dem Namen Kurs A und eine mit dem Namen Kurs B an.

Auf der Download-Seite für den Kurs A, die wir später erstellen, stellen Sie dann ein, dass nur Benutzer, die zu der Mitgliedschaft Kurs A gehören, diese Seite sehen/aufrufen können. Das verhindert sowohl, dass Kurs B-Teilnehmer, als auch dass unangemeldete Besucher die Seite sehen können.

Mitgliedschaftsstufen für die Kurse anlegen
Um eine Mitgliedschaftsstufe anzulegen, gehen Sie unter WP Mitgliedschaften auf den Unterpunkt Mitgliedschaftsstufen. Über den Button Neu hinzufügen erstellen Sie neue Mitgliedschaften.

Die geforderten Einstellungen in den Mitgliedschaftsstufen ist für unseren Mitgliederbereich nicht besonders umständlich. Was festgelegt sein muss ist der Name, sowie die Benutzerrolle und ein Ablaufdatum.

Eine Mitgliedschaftsstufe in Simple Membership anlegen
Als Name nehmen wir beispielsweise Kurs A, alternativen wären aber auch Grundkurs oder z.B. Einsteiger. Die WordPress-Benutzerrolle stellen wir auf Abonnent, um den Benutzern so wenig Befugnisse wie nur möglich zu geben. Als Ablaufdatum stellen wir keinen Ablauf ein, da in unserem Fall die Benutzer eigenhändig angelegt und zugeordnet werden. Es liegt also an uns, wann der Benutzer Zugriff hat und wann nicht.

Ein Mitglied einrichten und einer Mitgliedschaftsstufe zuordnen

Da wir nun die passende Mitgliedschaftsstufe haben, müssen wir als nächstes einen Benutzer anlegen, dem wir diese zuordnen. Das geht in der Regel auch ganz leicht, alles, was benötigt wird, ist eine E-Mail-Adresse pro Benutzer. Hierbei ist pro das ausschlaggebende Wort, da nicht mehrere Benutzer mit der selben E-Mail-Adresse angelegt werden können. Sie müssen also pro Kurs einen Benutzer mit einer eigenen E-Mail-Adresse angeben.

Um einen Benutzer mit einer bestimmten Mitgliedschaftsstufe anzulegen, suchen Sie in der Seitenleiste WP Mitgliedschaften und wählen Sie den Unterpunkt Mitglieder aus. Hier finden Sie, wie bei den Mitgliedschaftsstufe auch, einen Butten mit dem Namen Neu hinzufügen, über welchen neue Mitglieder angelegt werden können.

Neben den benötigten Angaben wie Benutzername, E-Mail-Adresse und Passwort, können Sie weitere Angaben machen, wie zum Beispiel den Kontostatus, welcher standardmäßig auf Aktiv steht. Sollte einmal ein Benutzer zeitweise deaktiviert werden müssen, beispielsweise wenn Sie geschützte Seiten anpassen wollen, ohne dass ein Mitglied diese Anpassungen sieht, stellen Sie den Benutzer einfach auf Inaktiv.

Kontostatus umstellen wenn benötigt
Essenziell für unsere Voraussetzungen ist aber die Mitgliedschaftsstufe, die für den Benutzer ausgewählt werden kann. Ist ein Benutzer einer Stufe zugeordnet, hat er Zugriff auf alle Seiten, die für diese Mitgliedschaftsstufe freigeben wurden.

Mitgliedschaftsstufe für einen Benutzer einstellen
Das sind auch schon alle Einstellungen, die für unseren Mitgliederbereich notwendig sind. Was nun folgt, ist das Erstellen der Seiten, auf den das jeweilige Kursmitglied zugreifen können soll.

Eine Kurs-Seite einrichten und schützen

Als nächstes legen Sie eine neue Seite an, die rein für den Kurs A-Teilnehmer zu sehen sein soll.Sobald Sie eine neue Seite angelegt haben, finden Sie unterhalb des Editors die Einstellungen zum Schutz der Seite.

Seiten für Kursmitglieder schützen
Sie haben unter „Möchten Sie diesen Inhalt schützen?“ zum einen die Wahl, den Inhalt zu schützen oder den Schutz aufzuheben. Zum anderen können Sie unter „Wählen Sie die Mitgliedschaftsstufe aus, die auf diesen Inhalt zugreifen kann“ entscheiden, welche Mitgliedschaftsstufe diese Seite sehen kann. Für unser Beispiel wählen wir Kurs A aus, was dafür sorgt, dass sowohl Kurs B als auch alle anderen Benutzer/Besucher die Seite nicht aufrufen können.

URL der Seite als Redirect einstellen

Wie bereits oben beschrieben wäre es wünschenswert, dass Kurs-Teilnehmer, die Sich mit einem Benutzer von Kurs A anmelden, auch direkt bei der Download-Seite von Kurs A landen. Glücklicherweise gibt es hier ein Add-on für das Simple Membership Plug-in. Sie rufen einfach unter WP Mitgliedschaft im Backend den Menüpunkt Add-ons auf. Hier finden die, für gewöhnlich gleich an erster Stelle, das Add-on After Login Redirection, alternativ können Sie unter Plug-ins gleich nach Simple Membership After Login Redirection suchen und dieses installieren und aktivieren.

Was nun passiert ist, dass automatisch bei Ihren Mitgliedschaftsstufen eine zusätzliche Spalte auftut, in welche Sie die URL der Seite eintragen, auf die Benutzer weitergeleitet werden, die dieser Mitgliedschaftsstufen angehören.

Die URL für den Redirect eintragen
In unserem Fall leiten wir in der Kurs A Mitgliedschaftsstufe auf die Download-Seite von Kurs A weiter. Somit werden Benutzer, die für Kurs A eingetragen sind, nach erfolgreichem Einloggen automatisch auf diese Seite weitergeleitet und müssen nicht erst mühselig zu ihr finden.

Die Downloadseite des Kurses befüllen

Nun geht es darum, die Downloads zu schützen, die auf den einzelnen Download-Seiten angeboten werden. Der Sinn hierbei ist, dass selbst wenn jemand den Link zum Download weitergibt, nur angemeldete Benutzer diese herunterladen können. Hier hilft das Plug-in Download Monitor weiter.

Nach der Installation finden Sie in der Seitenleiste im Backend den Menüpunkt Downloads. Hier können Sie Downloads anlegen, Ihnen Titel geben und sie lediglich für angemeldete Benutzer zugreifbar machen.

Neuen Download anlegen und schützen
Ein Download kann dabei aus mehreren Dateien bestehen. Sie klicken unter Dateien/Versionen einfach auf Download hinzufügen, um eine neue Datei zum Download hinzuzufügen.

Mehrere Dateien zum Download
Sie können neben der Download-Anzahl auch eine Versionsnummer angeben, falls Sie die Datei zu einem späteren Zeitpunkt aktualisieren möchten.

Wichtig: Sollte sich Ihre Website noch auf einer Entwicklungsumgebung befinden, so sollten Sie relative Links als Datei-URLs angeben.
Also
/wp-content/uploads/2015/07/Rakete.png
statt
https://ihredomain.de/wp-content/uploads/2015/07/Rakete.png

Shortcode des Downloads kopieren
Nachdem Sie alle Dateien eingefügt haben, kopieren Sie den Shortcode und veröffentlichen Sie den Download. Nun können Sie diesen Shortcode in jede mögliche Seite eintragen, in der die Dateien herunterladbar sein sollen. Am sinnvollsten ist es in unserem Fall, diesen Download direkt auf der Kurs-Download-Seite einzufügen, zur der Kursteilnehmer automatisch weitergeleitet werden. So haben diese sofort Zugriff auf die wichtigsten Dateien.

Zu guter Letzt müssen Sie die Kurs-Download-Seite mit Inhalten füllen, wie beispielsweise mit einem netten Willkommens-Text, ein Paar Bilder oder sonstigen Handlungsanweisungen.

Übersetzung und CSS anpassen

Zwei letzte, wichtige Anpassungen, die Sie vornehmen müssen, finden in der Übersetzungsdatei sowie über CSS statt.

Die Herausforderung:

Registrieren steht bei der Nachricht noch zur Wahl
Ruft man als gewöhnlicher, nicht angemeldeter Besucher eine geschützte Seite wie die Kurs-Download-Seite auf, so erhält man die oben gezeigte Benachrichtigung. In unserem Beispiel sollen sich Besucher aber gar nicht registrieren können.

Registrieren steht bei dem Login noch zur Wahl
Das selbe gilt für das Log-in Formular auf der Log-in-Seite an sich. Hier sind sowohl der Passwort-Vergessen-Link als auch der Registrieren-Link überflüssig, da niemand diese Funktionen nutzen soll.

Mittels CSS können wir die jeweils grün markierten Links entfernen. Dazu müssen Sie den folgenden Code in Ihr Zusätzliches CSS unter den Customizer bei dem Menüpunkt Design oder in der Administrationsleiste einfügen.

div.swpm-forgot-pass-link,
div.swpm-join-us-link,
.swpm-post-not-logged-in-msg a:not(.swpm-login-link) {display: none;}

Nun, da die Links weg sind, müssen wir uns nur noch um einen kleinen Textteil kümmern, der fehl am Platz ist:

Text entfernen mittels Übersetzung
Leider lässt sich dieser Textteil nicht durch CSS allein entfernen. Wir müssen uns also mit der Übersetzungsdatei des Plug-ins weiterhelfen. Eine grundsätzliche Erklärung, wie Sie Themes und Plug-ins Übersetzen, finden Sie in unserem Beitrag „WordPress Themes und Plug-ins übersetzen: Ein Vergleich“.

Wir gehen trotzdem Schritt für Schritt durch, was genau Sie tun müssen. Zunächst installieren Sie das Programm Poedit, mit welchem Sie Übersetzungsdateien bearbeiten können.

Danach loggen Sie sich über FTP auf Ihrem Server ein und navigieren zu /wp-content/plugins/simple-membership/languages/. Hier suchen Sie sich die simple-membership-de_DE.po Datei heraus und laden Sie auf Ihren Desktop herunter. Als nächstes öffnen Sie diese in Poedit, bzw. durch einen Doppelklick.

Poedit benutzen
Als nächstes drücken Sie die Befehlstaste + F (Windows Strg + F), um in dem Programm nach einem Bestimmten Text zu suchen.

In Poedit suchen
Sobald Sie auf Weiter klicken, zeigt ihnen Poedit sofort die Stelle in der Übersetzungsdatei an, an der Sie den Text anpassen können. Es bleibt Ihnen überlassen, ob Sie lediglich ein Leerzeichen anstelle des eigentlichen Textes eintragen, oder einen anderen Text angeben wie z.B. „Halten Sie Ihre Zugangsdaten parat.“ In unserem Fall tragen wir ein einfaches Leerzeichen anstelle des eigentlichen Textes ein, was dafür sorgt, dass das Feld nicht komplett leer steht und die englische Übersetzung verwendet wird.

Die gewünschte Stelle durch eigenen Text ersetzen
Danach Speichern Sie. Lassen Sie sich nicht durch die Fehlermeldung beunruhigen, diese besagt lediglich, dass der Englische Text auf einem Fragezeichen endet, wo hingegen Ihre dies nicht tut. Dies ist in diesem Falle aber so gewollt.

MO und PO Dateien werden benötigt
Wenn Sie die Datei Speichern, wird automatisch eine .mo Datei erstellt, die ebenfalls auf dem Desktop erscheinen sollte. Ist dem nicht der Fall, klicken Sie bitte in der Menü-Leiste unter Datei auf die Option MO-Datei erstellen. Sie benötigen beide Dateien, für den nächsten Schritt.

Nun laden Sie die beiden Dateien in den folgenden Ordner hoch:
/wp-content/languages/plugins/
Sobald dies getan ist, wird der fehlerhafte Text entweder verschwunden, oder durch Ihren eingegebenen Text ersetzt worden sein.

Den Benutzer abhalten, seine Daten anzupassen

In unserem Fall möchten wir die volle Kontrolle über die Log-in-Daten behalten. Die Kursteilnehmer sollen nicht die Möglichkeit erhalten, Ihr Passwort zurückzusetzen, das Profil in irgendeiner Weise zu bearbeiten oder ins Backend zu gelangen. Um dies zu verhindern, müssen unter WP Mitgliedschaft –> Einstellungen die folgenden Häkchen gesetzt sein:

Einstellungen um den Kursteilnehmer vom Backend fern zu halten
Nun muss ein letzter Feinschliff vorgenommen werden. Auf der Log-in Seite erhält der Kursteilnehmer Informationen und Handlungsmöglichkeiten wie „Profil bearbeiten“ und „Ausloggen„.

Daten auf der Log-in Seite
Da er sein Profil nicht bearbeiten soll, muss dieser Link mittels CSS ausgeblendet werden.
.swpm-edit-profile-link {display:none;}
Um die Übrigen, für den Kunden unwichtigen, Infos auszublenden, wie zum Beispiel den Kontostatus etc., fügen Sie außerdem den folgenden Code ein:

.swpm-logged-status, .swpm-logged-membership, .swpm-logged-expiry

Die Log-in Seite verlinken

Damit Ihre Mitglieder nun zukünftig auch eine Seite haben, auf der Sie sich anmelden können, verlinken Sie die oben erstellte Log-in Seite am besten im Haupt- oder Footermenü. Ihre Kursmitglieder finden so schnell den Zugang zu Ihrer Seite und somit zu Ihren Download-Dateien.

Fazit

Selbst für einen einfachen, kostenlosen Mitgliederbereich ist der Aufwand, den Sie betreiben, um alles am Laufen zu halten, sehr groß. Daher müssen Sie auch bei diesem Mitgliedschaftsbereich, aber vor allen bei größeren, kostenpflichtigen Mitgliedschafts-Projekten genau Planen und Testen.

turned_in_notBenutzerfreundlichkeit, Plugins

Kim Salewskihttps://kim-salewski.de

Kim Salewski ist seit August 2015 Teil der Elbnetz-Crew und ein großer WordPress-Fan. Sie hat eine Ausbildung zur Assistentin für Screen Design absolviert und programmiert/zeichnet in ihrer Freizeit rund um die Uhr.

132 Kommentare. Wir freuen uns über Ihren Kommentar

  • Thomas Biedermann8. Juni 2022 19:39 Einfache und verständliche Anleitung zur Einrichtung eines Mitgliederbereichs auf einer WP-Website! Sehr empfehlenswert!Folgende Anmerkungen:* Das Plugin erstellt beim Installieren und Aktivieren bei mir nicht (!) die fünf genannten Seiten. Dies kann man aber über die Einstellungen–>Tools nachholen, da sich damit diese Seiten (erneut) herstellen lassen.* Leider gibt es keine Mail-Benachrichtigung für den Login eines Mitglieds. Dies wäre sehr sinnvoll!* Leider wird das Mitglied beim Logout über einen normalen Abmeldelink (die Loginseite bzw. Landingpage hat original keinen solchen Button) nicht auf die in den Einstellungen hinterlegte URL (Login-Seite) weitergeleitet. Edit: Ich habe einen Abmeldelink mit einem PHP-Code hinterlegt, der die Weiterleitung nach dem Logout auf die Login-Seite vornimmt.* Die Änderung der Übersetzung wird nicht übernommen. Ich habe dies allerdings online mit dem Plugin Loco translate durchgeführt. Vielleicht muss ich dies doch lokal mit Poedit durchführen. Edit: Die Änderung der Übersetzung ist mir jetzt lokal auf meinem Computer mit Poedit gelungen.* Das Plugin Download Monitor zeigt in seinen Einstellungen diverse PHP-Fehlermeldungen an. Ich habe allerdings eine hohe PHP-Version (8.0?) für die Website auf dem Server eingestellt. Die Option des Schutzes eines Downloades hat keine Funktion. a) Die Aktivierung des Simple WP-Membership Schutzes wird durch Speichern nicht übernommen. b) Die Aktivierung der Download-Optionen–>Nur für Mitglieder führt dazu, dass ein eingeloggtes Mitglied eine Fehlermeldung (Keine Berechtigung) beim Download erhält. Nur bei deaktivierter Option ist ein Download möglich. Antworten
  • Thorsten Faltings 7. Juni 2022 11:30 Moin Thomas,vielen Dank für Deine hilfreichen Anmerkungen.Ahoi!
    Thorsten Antworten
  • Markus2. April 2022 21:39 ich beschäftige mich erstmals mit WP und habe es bisher nicht geschafft, einen member Bereich für Downloads zu bauen. Was ich möchte: Eine Seite erstellen, die passwortgeschützt ist (das habe ich geschafft). Auf dieser Seite möchte ich eine Anzahl Dateien anbieten, die heruntergeladen (mehrere wählbar) oder einzeln in einem anderen Fenster angezeigt werden. Gibts dazu ein einfaches Plugin? Oder wie macht das auf möglichst einfache Weise (die unschöne Variante (Links auf Dateien erstellen, bei Doppleklick werden sie in einem Fenster geöffnet, in dem Fenster steht dann Download zur Verfügung) kenne ich, ist aber nicht sehr bedienerfreundlich…Danke für eure Tips Antworten
  • K.Eber31. März 2022 17:45 Hallo. Super Plugin. Eine Frage hätte ich. Gäbe es ein Problem, wenn sich mehrere Personen mit denselben Benutzerdaten einloggen? Karin Antworten
  • Stef26. September 2021 20:33 Hallo, vielen herzlichen Dank für diese tolle Anleitung. Ich habe allerdings ein Problem: Ich habe eine Newsseite (Beitragsseite) im geschützten Bereich angelegt. In dieser befinden sich etliche Beiträge (also keine weiteren Seiten, sondern Beiträge). Leider kann man sich nun über die Goggle Suche diese Beiträge ansehen. Was habe ich falsch gemacht? Bzw. wie kann ich den allgemeinen Zugriff auf diese Beiträge verhindern und wie kann ich schnellstmöglich die Beiträge aus der Google-Suche entfernen?Vielen Dank für Eure Hilfe!!! Antworten
    • Thorsten Faltings 27. September 2021 9:21 Moin Stef,um den allgemeinen Zugriff auf die Beiträge zu verhindern, musst Du auch diese jeweils – wie oben beschrieben – analog der Seiten vor dem Zugriff schützen. Du kannst versuchen, über die Google Search Console die Beiträge möglichst schnell aus dem Suchindex zu löschen.Ahoi!
      Thorsten Antworten
  • Kersbers16. September 2021 9:47 Hey,
    tolles Plugin.
    Eine Frage habe ich noch: Gehe ich auf den Link einer Mitgliederseite für die ich nicht freigegeben bin, erscheint ja „Sie müssen sich anmelden, um diesen Inhalt zu sehen. Bitte Anmelden. Kein Mitglied?“. Kann ich hier auch direkt zur Login Seite verlinken? Wenn ja, wie geht das? Vielen Dank schonmal Antworten
    • Dirk9. Oktober 2021 14:40 Hey, genau das selbe Problem habe ich jetzt auch. Bzw. ich würde nicht gerne direkt auf die Loginseite verlinken, sondern auf eine eigene Seite, die einen Text anzeigt und danach Links für die Login- oder die Startseite bereitstellt.
      Ich hab dazu jetzt schon extra ein Child-Theme erstellt, damit ich evlt. Änderungen nicht nach jedem Update machen muss. Wäre toll, wenn es hierzu eine kleine Antwort/Anleitung geben würde. Antworten
  • Nuray Kirch22. August 2021 12:50 Hallo! Diese Anleitung hat mir sehr geholfen.
    Ich habe aber die gleiche Frage, die Jessie Fröde am 14. Januar 2021 gestellt hat und deren Beantwortung ich hier nicht gefunden habe:
    Da ich den Login Bereich auch für eine englische Seite erstelle, möchte ich den Text „Not a member?“ ebenfalls entfernen. Wo muss bzw. kann ich den englischen Quelltext entfernen?
    Ich würde auch gerne den Text „Username“ auf der Login Seite verändern. Welche Dateien nutze ich dazu? Antworten
  • Hans-Georg Hauser30. April 2021 23:12 Hallo! Ich habe eben einen geschützten Mitgliederbereich eingerichtet. Leider lassen sich keine Mitglieder hinzufügen. Zwei habe ich geschafft, das wars! Es kommt keine Fehlermeldung, nur die Mitglieder werden nicht angelegt. Woran könnte das liegen? Für Hilfe bin ich sehr dankbar. Antworten
    • red-loop25. Juli 2021 9:52 Wenn Mitglieder bereits unter „Benutzer“ angegeben sind, können diese nicht erneut im Mitgliederbereich angelegt werden. Eine Fehlermeldung bleibt in diesem Fall aus. Antworten
  • Malko17. März 2021 15:36 Erst einmal vielen Dank für Mühe diese Anleitung zu schreiben.
    Ich habe aber jetzt folgendes Problem. Wenn man nach dem Login auf die weitergeleitete Seite kommt, wo der Download Bereich ist, dann kommt diese Meldung „Sie müssen sich anmelden, um diesen Inhalt zu sehen. Bitte Anmelden. Kein Mitglied?“
    Wenn ich auf der Download Seite ganz unten bei „Möchten Sie diese Inhalte schützen?“ den Haken bei „Nein, diesen Inhalt nicht schützen“ setzte funktioniert es, aber dann ist die Seite natürlich nicht geschützt.
    Mache ich den Haken „Ja, diesen Inhalt schützen“. Bekomme ich bei der Weiterleitung den Fehler. „Sie müssen sich anmelden, um diesen Inhalt zu sehen. Bitte Anmelden. Kein Mitglied?“
    Jemand hier, hatte das selbe Problem, hatte dazu aber leider keine Antwort bekommen.
    LG
    Malko Antworten
    • Sebastian5. Juli 2021 22:01 Die verlinkte Seite muss natürlich noch der entsprechenden Mitgliedsschaftstufe zugeordnet werden, sonst ist derjenige der sich eingeloggt hat trotzdem fremd für die Seite.Dort wo du den Haken setzt, kannst du auch direkt die Mitgliedsschaftstufe auswählen, sofern sie vorher auch angelegt wurde. Antworten
  • Frank3. März 2021 16:26 Hallo.
    Toll erklärt! Ein Problem habe ich aber doch.Gibt es eine Möglichkeit das ausloggen zu erzwingen? Das Problem ist, selbst bei gesetzem Haken “ beim Schließen des Browsers abmelden“ bleibt der Zugang offen wenn nur der Tab geschlossen wird.Man muß zum Abmelden den Browser komplett schließen.Das macht aber in der Praxis ja keiner.
    Ich wäre für eine Idee dankbar.
    Gruß Frank Antworten
  • Andreas22. Februar 2021 22:12 Hallo zusammen,erstmal vielen Dank für die tolle Anleitung.Gibt es auch die Möglichkeit, mehrere Unterseiten zu schützen? Die z.B. erst im Memberbereich sichtbar werden oder so? Antworten
  • Robert Werhahn12. Februar 2021 13:37 Eine wirklich umfassende Beschreibung, vielen Dank dafür. Habe jetzt eine Mitgliedschaftsstufe angelegt (LC Mitglied) und versuche dazu neue Mitglieder mit Benutzer-Name (zB LCMitgl_2021), eMail & PW (enthält Sonderzeichen, Zahlen, Großbuchstaben) anzulegen: funktioniert nicht. Beim Anlegen erscheint am Oberrand des Dashboardfensters unter der obersten Menüleiste verdeckt und nur zum Teil sichtbar ein rotes und grünes Feld, welches ich aber nicht entziffern kann. Hab ich hier irgend etwas vergessen? Kann mir da jemand weiter helfen? Antworten
  • Emma26. Januar 2021 12:44 Hallo Thorsten, toller Beitrag! Sind die Plug-ins noch aktuell, oder gibt es da mittlerweile Alternativen? Außerdem: Ist es möglich, die Download Dateien in Ordnern zu strukturieren und/oder eine Suchfunktion hinzuzufügen?Vielen Dank vorab! Antworten
    • Thorsten Faltings 26. Januar 2021 13:14 Moin Emma,es freut uns, dass Dir der Beitrag gefällt. Wir überprüfen es nicht jeden Monat, aber die Plug-ins sollten noch aktuell sein. Im Backend werden die ‚Downloads‘ ähnlich aller Dateien in einem speziellen Unterverzeichnis abgelegt. Wenn Du aber das Frontend meinst, dann hast Du alle Freiheiten, die Links in eine Struktur zu bringen. Mit dem richtigen Plug-in kannst Du auch nach ihnen suchen.Ahoi!
      Thorsten Antworten
  • Jessie Fröde14. Januar 2021 18:05 Tolle & hilreiche Anleitung!Die Seite, die ich gestalte, soll allerdings in zwei Sprachen aufgesetzt werden.
    Gibt es hier auch eine Möglichkeit die Login Seite in DE und EN anzulegen?
    Dafür habe ich bisher leider noch keine Lösung gefunden.Zudem kommt damit das Problem, dass das bearbeiten der .po Datei dann trotzdem der englische Text „Not a member?“ angezeigt wird …Lieben Dank schon mal für die Antwort. Antworten
  • Eckhard Kujawa9. Januar 2021 14:50 Wie schon von den Vorkommentatoren häufig geschrieben. Die Anleitung ist sehr verständlich.
    Bei mir funktioniert der Download via „Medien“ einwandfrei und der Pfad zum Dokument wird auch richtig angezeigt.
    Wenn ich den Short-Code in die Download-Seite einfüge werden die Links auch für den angemeldeten Kunden angezeigt, führen aber zur Startseite der Website.
    Füge ich in die Download-Seite den Link zum Dokument händisch ein, wird das Dokument wie gewünscht geöffnet.
    Ich kann es mir nicht erklären. Vieleicht hat ja jemand eine Idee.? Antworten
    • E. Kujawa11. Januar 2021 12:01 Editiere meinen Kommentar vom 09.Januar 2021
      Das geschilderte Problem hat sich erledigt. Kann nur nicht berichten wo der Fehler lag.
      Funktioniert einwandfrei.
      Danke noch mal für die ganz einzigartig gute Anleitung. Antworten
  • Herwig1. Dezember 2020 15:54 Nochmal Hallo,
    das Problem hat mir keine Ruhe gelassen. Auf der Seite des Plugin-Entwicklers findet man eine sehr ausführliche englischsprachige Dokumentation. Im Zuge der Weiterentwicklung des Plugins haben sich wohl die entsprechenden Befehle geändert.
    Wer den Paswortvergessen-Link loswerden will gibt jetzt folgendes ein:
    .swpm-login-widget-form #forgot_pass {display:none;}
    den join us Link so:
    .swpm-login-form-register-link {display:none;}
    und die remember me checkbox so:
    .swmp-remember-me {display:none;}
    Ich habe jedem dieser Befehle eine eigene Zeile in der Rubrik ‚Zusätzliches CSS‘, welche man unter dem Customizer findet, den man aus der Administrationszeile erreicht, spendiert und es hat funktioniert.
    Die Seite des Entwicklers des SimpleMembership PlugIns ist eine wahre Fundgrube. Man findet die Seite leicht. Antworten
  • Herwig1. Dezember 2020 14:36 Hallo,
    das ist wirklich eine gute Anleitung und ich habe sie bestimmt schon ein paar Mal gelesen. Leider scheitere ich schon hier:
    „Das selbe gilt für das Log-in Formular auf der Log-in-Seite an sich. Hier sind sowohl der Passwort-Vergessen-Link als auch der Registrieren-Link überflüssig, da niemand diese Funktionen nutzen soll.
    Mittels CSS können wir die jeweils grün markierten Links entfernen. Dazu müssen Sie den folgenden Code in Ihr Zusätzliches CSS unter den Customizer bei dem Menüpunkt Design oder in der Administrationsleiste einfügen.“
    Wo ist ‚mein zusätzliches CSS‘? Dann soll der Code ‚unter den customizer bei dem Menüpunkt Design‘. In der Administrationsleiste kann ich nur was auswählen( z.B. Customizer, Neu, Seite bearbeiten) aber nichts eintragen. Wenn ich dort ‚Customizer‘ wähle erscheint ganz unten als letzte Auswahl ‚Zusätzliches CSS‘ und dahinter eine Eingabemöglichkeit für code. Wenn ich dort den Code eingebe (gehört er in eine Zeile oder mehrere?) passiert nichts, die Links verschwinden nicht. Ich benutze das kommerzielle Theme ‚Head Blog‘ für meine Website und bin kein Informatiker, leider. Ich war schon etwas älter, als ich mich mit 6502 Assembler in meinem Commodore 64 beschäftigt habe, Mnemonics und so.
    Meine Frage(und Bitte): wo genau muss ich diesen code eintragen. Kann mir jemand den Weg dorthin bitte step by step aufzeigen? Antworten
  • Eric23. November 2020 11:36 Wirklich guter Beitrag! Ich hätte nur ein kleines Problem. Die Seiten die z.B. Kunde A sehen soll aber Kunde B nicht, kann Kunde B trotzdem sehen. Die Meldung „Dieser Inhalt ist für Ihre Mitgliedschaftsstufe nicht freigegeben.“ erschein zwar aber der Inhalt der Seite auch. Downloads werden blockiert. Jedoch sollte der Inhalt auch blockiert werden. Ich habe diese Methode schon früher einmal genutzt und dort war dies auch so der Fall. Kann dies an meinem Theme liegen? Oder hat jemand eine Idee? Antworten
  • Florian18. August 2020 11:15 Interessanter Atrikel! dennoch mal einen Frage zu wordpress und Persönliche Downloads.
    Gibt es ein Plungin, dass :
    Persönlicher Login
    Persönliche Seite, wo nur die Daten hinterlegt sind (Abrechnung) die für die Person zusehen ist die den Zugang dazu hat. (Beispiel: Peter logt sich ein und sieht seine Abrechnung, Ingo logt sich ein und sieht nur seine Abrechnung und nicht die von Peter)
    Gibt es da ein plugin für auch kerne kostenpflichtig Antworten
  • Pascal9. August 2020 18:32 Top Beitrag
    Habe eine Frage und vielleicht wird mir diese ja auch noch 2020 beantwortet 😀
    Ich habe auf meiner Seite jetzt ein Kundensystem eingerichtet und das auch mit verschiedenen Kursen. Nach dem Login werden die jeweiligen Kursmitglieder zu der für sie angepassten Seite weitergeleitet. Mein Problem/Frage: Kann man es im Menü so einrichten, dass Wenn sich Kursmitglied A anmeldet Kursliste A im Menü erscheint und bei Kursmitglied B Kursliste B und so weiter? Abgesehen von dem einmaligem Weiterleiten haben die Kunden danach keinen zugriff mehr darauf. Möchte das man diesen MenüPunkt nur sieht wenn man auch mit dem jeweiligem Kurs angemeldet ist. Habe mir dazu erst das Plugin Nav Menu Roles geholt, aber das Arbeit meines Wissens nur mit WordPressRollen wie Admin, Abonnent etc und nicht mit meinen erstellten Kurs-Rollen.
    Vielleicht kann mir ja jemand helfen. Danke schonmal im Voraus!
    Lg Antworten
    • Thorsten Faltings 10. August 2020 9:32 Moin Pascal,
      vielen Dank für Deine Nachricht. Wenn ich Dich richtig verstehe, hat jeder User seine eigenen Kurse, gelistet auf einer individuellen Seite. Du würdest als eine Erweiterung benötigen, die tatsächlich einen Menü-Eintrag ermöglicht, der für jeden angemeldeten User individuell ist. Ein passendes Plug-in haben wir bei einer schnellen Recherche nicht gefunden. Mit einer individuellen Entwicklung würde man das Problem aber sicher lösen können.
      Ahoi!
      Thorsten Antworten
      • Pascal10. August 2020 20:27 Danke für die schnelle Antwort!
        Habe das Problem jetzt über einen kleinen Umweg gelöst!
        Geholfen haben mir dabei die Plugins: Nav Menu Roles und User Role Editor.
        habe für die jeweiligen Kurse eigene WP-Rollen erstellt und dann den erst über das Nav Menu gelöst.
        Dennoch vielen Dank für die Hilfe! Antworten
  • mpr_922. Mai 2020 4:40 Guten Tag, ich habe eine Frage zu den Plugins und der Vorgehensweise.
    Und zwar möchte ich jetzt nicht nur eine Datei zum Download freigeben, sondern ich würde gerne eine URL bzw. nur einen bestimmten Inhalt mit Zugriffen verwaltet. Kann ich in dem Download auch eine URL angeben? Ist das auch möglich?
    Und zweite Frage: In dem Donwload-Post kann man ja auch Inhalt im Textfeld eingeben (dort wo bei Ihnen aktuell Lorem Ipsum drin steht). Wie kann ich denn zusätzlich diesen Inhalt ausgeben? Gibt es da einen anderen Shortcode für?
    Herzlichen Dank für eine hoffentlich zeitige Rückmeldung. Antworten
  • Lara-Maria Nestyak24. März 2020 0:23 Erstmals vielen herzlichen Dank für diese ausführliche und wirklich sehr hilfreiche Anleitung!
    Eine Frage habe ich noch: Gehe ich auf den Link einer Kursseite für die ich nicht freigegeben bin, erscheint ja „Sie müssen sich anmelden, um diesen Inhalt zu sehen. Bitte Anmelden. Kein Mitglied?“ Dabei ist das Wort „Anmelden“ mit einem Hyperlink hinterlegt. Ich würde gerne statt „Kein Mitglied?“ etwas wie „Hier zur Kursbuchung klicken!“ eingeben – den Text kann ich ja ganz einfach mit Poedit editieren, aber woher kommt der Link? Antworten
  • Maximilian Pfützner11. März 2020 16:02 Hallo,
    zunächst einmal vielen Dank für die super Anleitung! Soweit funktioniert auch alles, aber leider komme ich an einem Punkt nicht so richtig weiter:
    Wenn ich mich auf der Login-Seite befinde und mich als Nutzer einlogge gelange ich mit Hilfe der Login Redirection auch auf die jeweils richtig zugewiesene Seite. Das funktioniert allerdings leider nur, wenn den Passwortschutz der Seite deaktiviert habe. Sobald dieser allerdings aktiv ist, kommt nach dem Einloggen die Meldung „Sie müssen sich anmelden, um diesen Inhalt ansehen zu können. Bitte Einloggen. Noch kein Mitglied?“ daraufhin muss ich mich nochmal einloggen und komme nicht auf die voreingestellte Seite.
    Ich hoffe es ist soweit verständlich was ich damit sagen wollte und bin über jeden Hinweis sehr dankbar.
    Liebe Grüße,
    Max Antworten
  • Stefan Paulus21. Februar 2020 21:39 Hallo,
    ja das klingt sehr interessant. Was mich jedoch interessiert, ob es eine Möglichkeit gibt, registrierten Nutzern individuelle Inhalte, wie PDF Dokumente individualisiert in den jeweiligen Nutzerkonten zur Verfügung zu stellen. Wissen Sie hierzu eine Lösung oder Plugins die diese Möglichkeiten bieten?
    Viele Grüße
    Stefan Antworten
  • Franziska3. November 2019 18:21 Hallo,
    die Anleitung war sehr hilfreich und gut erläutert. Leider komme ich an einer Stelle nicht weiter:
    >Um die Übrigen, für den Kunden unwichtigen, Infos auszublenden, wie zum Beispiel den Kontostatus etc., fügen Sie außerdem den folgenden Code ein:
    .swpm-logged-status, .swpm-logged-membership, .swpm-logged-expiry
    Der Code funktioniert bei mir leider nicht. Es kommt eine Fehlermeldung. Habe an dieser Stelle schon einiges probiert. Kann mir jemand weiterhelfen?
    Liebe Grüße Antworten
    • SDdorf28. November 2019 14:54 Hallo Franziska,
      das gehört noch zu darüberliegenden Satz:
      Soll so – komplett – im css eingefügt werden:
      .swpm-edit-profile-link, .swpm-logged-status, .swpm-logged-membership, .swpm-logged-expiry {display:none;}
      Gruß SDdorf Antworten
  • Julian13. Oktober 2019 22:44 Guten Abend liebes Team!
    Erstmal vielen herzlichen Dank für die ausführliche Anleitung.
    Nun scheint erstmal alles sehr praktisch und simpel.
    Mein Anwendungsbereich scheint aber etwas von der beschriebenen Situation abzuweichen. Ich möchte insggesamt 140 Benutzer anlegen, die in verschiedene Gremien aufgeteilt sind (Kommissionen und Departemente) Muss ich jetzt für jeden einzelnen Benutzer ein Passwort anlegen und es ihm später per Mail zukommen lassen, damit er sich überhaupt einloggen kann?
    Ich habe schon die Variante mit der E-Mail Aktivierung getestet. Praktisch! Nur leider muss sich jeder Benutzer, noch bevor er einen Aktivierungslink erhält das erste Mal einloggen. Sprich: Er braucht die Login Daten. Gibt es eine Möglichkeit, dass der Benutzer das Passwort selbst anlegen kann? Ist es möglich dem Benutzer den Aktivierungslink samt Login Daten automatisch zu versenden?
    Euer Rat wäre sehr hilfreich. Ansonsten bin ich wohl gezwungen, sämtlichen 140 angelegten Benutzern ein Passwort zu versenden :/
    Ich wünsche euch einen erholsamen Abend und schon jetzt danke für das Feedback!
    Julian Antworten
  • Andreas27. März 2019 12:17 Hi, super Anleitung und sehr schöne PlugIns.
    Als work around für das Log Out Problem geht mit der neuesten WordPress Version (5.1.1) folgender Weg:
    1. Role der Mitglieder unter dem Punkt Menüpunkt Benutzer als – Keine Benutzerrolle für diese Website – festlegen
    2. Die Adminbar unter WP Mitgliedschaft Einstellungen auf anzeigen setzen (default Einstellung).
    Die Bar beinhaltet nun nur ein Bild, Name und AUSLOGGEN Feld. Die Bar kann natürlich per css nach Stylewünschen angepasst werden. Antworten
  • Manu25. März 2019 17:40 Ich habe in einem Anfall geistiger Umnachtung aus Versehen die Login-Seite gelöscht, dabei hatte ich alles schon schön eingestellt und funktionierte prima. Ich habe das Plugin „Simple-Membership“ gelöscht und wieder installiert. Aber das generieren der Login-Seite bleibt aus. Was kann ich jetzt machen? Hoffentlich kannst Du mir helfen. Antworten
  • Sabrina Tausch15. März 2019 10:35 Hallo, wirklich toller Beitrag!
    Ich hoffe ihr könnt mir bei meinem Problem weiterhelfen. Wenn ich die Loginseite aufrufe, steht bei mir im Feld „Benutzer“ immer der Benutzer drinnen mit dem ich die WordPress Seite erstellt habe, es ist mir nicht möglich diesen raus zu löschen und mich mit einem anderen Benutzer anzumelden. Das Feld reagiert einfach nicht. Antworten
  • Stefanie S.14. März 2019 17:17 Hallo Kim, Hallo Thorsten,
    SUPER geschrieben! Ich habe nur noch eine Frage: Ich würde gerne eine E-Mail Benachrichtigung erhalten, wenn einer unserer Kunden ein Dokument herunterlädt. Wie kann ich das am besten machen?
    DANKE und liebe Grüße,
    Steffi Antworten
  • Micha11. März 2019 11:01 Hallihallo Thorsten,
    ich bin ja begeistert von eurer sehr gut erklärten Lösung zum Thema geschützter Kundebereich.
    Nun habe ich als Admin, noch einige Mitarbeiter im RedakteurStatus welche dann auf einmal nicht mehr regulär über den WP Login auf ihr Dashboard Bereich kommen. In den „allgemeinen Einstellungen“ der WP Mitgliedschaft habe ich dann das Häkchen im Bereich „Deaktivieren Sie den Zugriff auf das WP Dashboard“ entfernt, sodass meine Mitarbeiter wieder über den WP Login regulär ihren Zugang erhalten.
    Leider kann dann das reguläre Kursmitglied, sofern sie den WP Login URL (aus Sicherheitsgründen wurde die URL um geändert) kennen würden, auf ihr abgespecktes Dashboard Profil zugreifen, was ja eigentlich nicht sooo sein soll.
    Ich hatte auch den Weg über die „Erweiterte Einstellung“ bei der WP Mitgliedschaft versucht, wo ich unter „Admin-Dashboard Zugriffsberechtigung“ den Zugriff meiner Redakteure zu ermöglichen versuchte. Vorher hatte ich das Häkchen im „Deaktivieren Sie den Zugriff auf das WP Dashboard“ wieder aktiviert. Irgendwie klappt erstaunlicherweise die Option auch nicht. Eine weitere Idee bzw. Kombination mit dem PlugIn „User Role Editor“ war vergebene Müh.
    Habe ich irgendwas in den WP Mitgliedschafts-Einstellungen übersehen, sodass meine Mitarbeiter „Redakteuren“ weiter ungehindert sich über das reguläre WP Login einloggen können, wiederum das „gemeine“ Kursmitglied nur das zu sehen bekommt, was es soll und keine weiteren Möglichkeiten im BackEnd bzw im Dashboard rumzuwuseln?
    Danke vor ab.
    Herzliche Grüße vom Niederrhein
    Micha Antworten
  • Daniel von bo:mi:well®8. März 2019 13:59 Hallo Kim,
    hallo Thorsten,
    jetzt habe ich auch endlich meine Downloads geschützt. Das Einrichten hat gut funktioniert, nur hätte ich gerne, dass die Downloads wie bisher in einem neuen Tab geöffnet werden. Es handelt sich nämlich bei den Downloads um PDF- und MP3-Datein, die der Browser automatisch öffnet. Bisher hatte ich einfach den target=“_blank“-Zusatz in meinem Link drin stehen gehabt. Dieser funktioniert aber in dem shortcode nicht. Und leider konnte ich weder in den Einstellungen des Download-Plugins noch auf den Seiten der einzelnen Downloads die Option finden.
    Natürlich kann man einfach wieder auf „Die vorherige Seite anzeigen“ klicken, nachdem sich die Datei im Browser geöffnet hat. Nur kann es eben auch gut sein, dass jemand den Tab dann schließt, nachdem er festgestellt hat, dass sich die Datei „nur geöffnet hat“ und sie nicht heruntergeladen wurde. Und dann hat er eben auch ungewollt meine Seite geschlossen.
    Liebe Grüße
    Daniel Antworten
    • Thorsten Faltings 8. März 2019 16:51 Moin Daniel,
      ich habe es soeben getestet und bei mir hat nicht der Browser (Safari) die Datei angezeigt, sondern einen Download initiiert.
      Hast Du mal den Link (URL) über dem Shortcode kopiert und ausprobiert? Hat bei mir funktioniert.
      Ahoi!
      Thorsten Antworten
  • ungoliant8. März 2019 12:34 Hallo,
    toller Beitrag! Genau das was ich suche!
    Gibt es auch eine Möglichkeit einen Mitglied mehrere Mitgliedsstufen zuzuweisen?
    cheers ungoliant Antworten
    • Thorsten Faltings 8. März 2019 16:52 Moin,
      meines Wissens ist das nicht möglich. Am besten die Mitgliedsstufen so planen, dass sie die Möglichkeiten der anderen Stufen beinhalten und noch jeweils weiter Optionen bieten. So nach dem Motto Bronze, Silber, Gold.
      Ahoi!
      Thorsten Antworten
  • Gaby4. März 2019 11:32 Moin Thorsten, 🙂
    vielen Dank, für die schnelle Reaktion!
    Es geht darum, dass für einen Lehrgang, der in Blockwochen stattfindet, für die jeweilige Woche alle Skripte heuntergeladen werden sollen.
    Ich würde also gerne alle betreffenden Dateien z.B. unter dem Download Titel „Skripte Woche 1“ hochladen und den Shotcode, unter dem ja jetzt evtl. 5 Dateien gespeichert sind, in die Download Seite für die Teilnehmer einfügen.
    Oder muss ich für jedes einzelne Skript einen eigenen Shortcode einfügen?
    Ich würde dann aber nicht den Sinn verstehen, dass unter einem Download Titel mehrere Dateien hochgeladen werden können, wenn tatsächlich nur eine downgeloadet werden kann.
    Schon jetzt vielen Dank für Deine Geduld mit mir ….
    Beste Grüße
    Gaby Antworten
  • Gaby3. März 2019 20:12 Hallo Kim,
    es ist zwar schon oft gesagt, aber trotzdem nochmal:
    Vielen Dank für die super Anleitung!
    Leider komme ich mit einem Problem nicht weiter.
    Ich habe über den Download Monitor mehrere Dateien hochgeladen und den Shortcode auf die Download Seite kopiert. Aber nur die erste Datei kann heruntergeladen werden. Alle anderen erscheinen erst gar nicht.
    Im Dashboard erscheint unter Downloads bei „Datei“ auch nur eine Datei.
    Muss ich bei der Bereitstellung von mehreren Dateien denn vielleicht noch weitere Einstellungen im Download Monitor vornehmen? Antworten
    • Thorsten Faltings 4. März 2019 9:00 Moin Gabi,
      erstmal vielen Dank für Dein Lob!
      Wir sind nicht sicher, ob wir Dein Problem richtig verstehen, haben aber eine Vermutung:
      Kann es sein, dass Du alle Dateien zu einem „Download“ zusammengefasst hast? Versuche mal für jede Datei einen eigenen „Download“ anzulegen und entsprechend die jeweiligen Shortcodes einzufügen.
      Ahoi!
      Thorsten Antworten
  • Peter Lehmann20. Februar 2019 14:51 Hallo, ich wollte ein Mitglied manuell über das Plugin anlegen. Das funktioniert nicht. Es wird aber jedesmal eine admin.php Datei heruntergeladen. Was mache ich falsch?
    Hintergrund ist der, dass ich die Kunden manuell anlegen will. Nicht jeder bekommt einen Zugriff auf eine Seite.
    Kann man auch jedem Benutzer eine spezielle Seite anzeigen? Antworten
  • Maja17. Januar 2019 17:47 Hallo Kim,
    vielen Dank für den tollen Beitrag. Ist total hilfreich!
    Bei mir hakt es nur noch an einer Stelle…
    Wenn ein Besucher ohne einggeloggt zu sein die Download-Seite aufruft erscheint da der Satz: „Sie müssen sich anmelden …“. Und sonst nichts. Gibt es eine Möglichkeit in diesem Fall direkt auf die Login Seite umzulenken?
    Gruß Maja Antworten
  • Ronny Meyer27. Dezember 2018 20:05 Hallo Kim. Vielen Dank für Deine Anleitung. Sehr gute Sache.
    Leider habe ich ein Problem: wenn ich den Shortcode in der Seite einfüge, und danach darauf klicke passiert nichts… was habe ich falsch gemacht?
    Gruss Ronny Antworten
  • Konstantin1. Dezember 2018 3:25 Hallo,
    toller Artikel! Sehr ausführlich und gut beschrieben.
    Eine Frage hätte ich dennoch. Mit welchem Plugin kann ich die automatische Registrierung ermöglichen?
    Es steht zwar eine Seite namens Registration zur Verfügung, nur enthält diese kein Formular. Antworten
  • Daniel von bo:mi:well®16. November 2018 18:17 Liebe Kim, ich danke dir vielmals für diesen tollen Artikel!
    Ich hatte mich vor einigen Monaten schon mal damit beschäftigt und es dann verzweifelt aufgegeben. Heute morgen bin ich dann auf diese absolut perfekte Anleitung gestoßen und konnte die Einrichtung dann auf meiner Seite zur vollsten Zufriedenheit durchführen. Wirklich toll erklärt – sowas findet man leider zu selten.
    Einen Spenden-Button für eine „Tasse Kaffe“ gibts nicht auf der Seite, oder?
    Würde mich gerne erkenntlich zeigen. Habe fast ein schlechtes Gewissen, dass ich diese tolle Anleitung einfach kostenlos erhalten habe.
    Liebe Grüße
    Daniel von bo:mi:well® Antworten
    • Kim Salewski 19. November 2018 9:22 Moin Daniel,
      Es freut mich sehr zu hören, dass die Anleitung eine Hilfe und verständlich ist! Deine Hilfestellung für Ben ist reicht uns vollkommen als Entlohnung 😉 Wir freuen uns, wenn durch unseren Beitrag und die vielen hilfreichen Kommentare offene Fragen geklärt werden können.
      Viele liebe Grüße,
      Kim Antworten
  • Olaf12. November 2018 18:21 Hallo, super Beitrag… Ich habe das nun auf meiner Seite auch hinbekommen, danke dafür.
    Eine Frage hab ich noch dazu, wie bekomme ich es hin das sich ein User mehr als einmal anmeldet? Sozusagen ein User für eine Gruppe… geht das? Antworten
  • Alexander Mäding8. November 2018 12:30 Hallo,
    kann ich auch eine Seite erst nach 7 Tagen nach der ersten Anmeldung freischalten?
    LG Alexander Antworten
  • Der Waldi7. November 2018 12:18 Vielen vielen Dank für diesen Beitrag. Du hast mir sehr geholfen.
    Ich habe nur noch eine Frage.
    Kann ein Mitglied mehreren Mitgliedsstufen angehören?
    Ich möchte auf der Seite mehrere Kurse anbieten, die alle Separat bestellt werden können. Was passiert, wenn ein Mitglied einen zweiten Kurs bestellen möchte. Muss ich das Mitglied neu anlegen mit einer anderen Mailadresse, oder gibt es die Möglichkeit das man ihm einfach den zweiten Kurs zuweist?
    Danke nochmal Antworten
    • Daniel von bo:mi:well®7. März 2019 11:11 Hallo Waldi,
      genau vor diesem Problem stand ich auch. In dem Plugin lässt sich ja immer nur eine Mitgliedschaftsstufe auswählen. Man kann leider nicht mehrere anklicken.
      Meine Idee war dann einfach eine weitere Mitgliedschaftsstufe anzulegen. Und alle Seiten, die den beiden anderen Mitgliedschaftsstufen jeweils zugeordnet sind, auch der neuen zuzuordnen.
      Im meinem Fall sah das so aus:
      1. Mitgliedschaftsstufe: Tagesworkshop Rückenschule (Seiten A, B, C)
      2. Mitgliedschaftsstufe: Faszientraining Workshop (Seiten 1, 2, 3)
      3. Mitgliedschaftsstufe: Tagesworkshop Rückenschule und Faszientraining (Seiten A, B, C und Seiten 1, 2, 3)
      Ich habe dann eine Auswahl-Seite erstellt, auf der ich die Links zu beiden Workshops eingefügt habe. Diese Seite wurde dann zu der Redirection-Page der Mitgliedschaftsstufe. Und damit man von einem Workshop zum anderen wechseln kann, habe ich diese Auswahlseite in meiner Seitenleiste verlinkt.
      So funktioniert es jetzt eigentlich ganz gut. 😉
      Ich weiß zwar nicht, ob ich einen solchen Kommentarbereich nutzen darf, um Werbung zu machen – falls es nicht erwünscht sein sollte, dann entschuldige ich mich dafür und dann darf der Kommentar natürlich gelöscht werden – aber vielleicht gibt es hier ja jemanden, der gerne seine Rückenschmerzen loswerden möchte.
      bomiwell.de/ruecken
      Liebe Grüße
      Daniel von bo:mi:well® Antworten
      • Thorsten Faltings 7. März 2019 11:16 Moin Daniel,
        es ist tatsächlich so, dass wir hier normalerweise keine Werbung zulassen.
        Da uns aber Dein Lösungsweg gefallen hat, drücken wir mal ein Bullauge zu 😉
        Ahoi!
        Thorsten Antworten
  • Sandra Oelschläger5. November 2018 8:51 Einfach nur ein riesiges Danke für den Beitrag! Sehr übersichtlich und leicht nachzumachen. Danke!
    Liebe Grüße
    Sandra Antworten
  • Akinom11. September 2018 13:25 Tolle Anleitung.
    Gibt es auch die Möglichkeit, Berechtigungen (Veröffentlicht, Privat) nachträglich außerhalb des Dashboards zu ändern? Möchte einem eingeloggten Nutzer die Möglichkeit geben, seine privaten Elemente der Seite zu veröffentlichen. Antworten
  • Herbert6. September 2018 20:52 Diese Anleitung ist wirklich Spitze. Die stimmt wirklich bis ins Detail. Herzlichen Dank dafür. Ich habe über dem Problem einige Tage gebrütet und diverse Member Plugins inkl. Anleitungen ausprobiert. Nur diese Weg war erfolgreich, und dann sogar noch ohne Kosten. Ich kann auch kaum glauben, dass ein solches tolles Plugin kostenfrei ist. Obwohl mein Kunde plötzlich andere Anforderungen stellt, die wahrscheinlich so nicht realisierbar sind, werde ich diese Lösungen mit Sicherheit bei anderen Projekten umsetzen. Antworten
  • Lennart20. August 2018 19:27 Super Erklärung, danke dafür!
    Mein Problem ist nur gerade, dass ich selbst wenn ich eingeloggt bin, die Dateien nicht Downloaden kann. Es erscheint die Meldung: „Du besitzt nicht die nötige Berechtigung, um auf diese Download-Datei zuzugreifen. Gehe zur Startseite“.
    Ich bin der Meinung, ich hätte alles richtig eingestellt… :/ Antworten
  • Christian20. Juli 2018 17:17 Hallo,
    können bei Simple Membership auch Einstellungen vorgenommen werden, dass die angelegten Mitglieder automatisch per Email darüber informiert werden dass sie angelegt wurden und ihnen auch der Benutzername und das Passwort mitgeschickt wird?
    VG
    Christian Antworten
  • Dia20. Juli 2018 8:49 Vielen Dank für die ausführliche und sehr gut verständliche Anleitung!
    Ich habe nun alles so eingerichtet, jedoch haben sich zwei Probleme aufgetan:
    1.) Nachdem der Abonnent eingeloggt ist kommt er nochmals auf eine Seite, wo das Passwort wieder abgefragt wird. „Dieser Inhalt ist passwortgeschützt. Um ihn anzuschauen, gib …..“… und wie gesagt, er muss nochmals das vorher bereits eingegebene PW eingeben.
    2.) es gibt keine Möglichkeit sich auszuloggen. Erst wenn der Abon. wieder auf die Login-Seite zurückkehrt kann er sich ausloggen. Gibt es da eine einfache Lösung mit einem Button oder Link, den ich einfügen kann? (Bitte Dummie-Version 😉 …)
    Vielen Dank und sonnige Grüße,
    Dia Antworten
    • Kim Salewski 20. Juli 2018 8:59 Moin Dia,
      Zu 1) kann ich leider nicht viel sagen. Die oben beschriebene Methode mit dem Redirect und dem aktivieren der Zugriffseinstellungen für eine bestimmte Mitgliedschaft haben dieses Problem bei uns bisher nicht hervorgerufen.
      Zu 2) gibt es lediglich diese Möglchkeit. Du kannst es deinen Besuchern etwas erleichtern, indem du die Menüführung anpasst. Hierzu einer meiner früheren Kommentare:
      „Es ist wahr, das Ausloggen findet bei diesem Plug-in/bei dieser Methode auf der Log-in Seite statt. Wenn man auf diese klickt, findet man dort den “Ausloggen” Link.
      Eine Möglichkeit, das Ausloggen für Benutzer logischer zu gestalten wäre:
      1. Du benennst die Seite “Log-in” in “Konto” um.
      oder
      2. Du nutzt das Plug-in “Nav Menu Roles”, mit dem du angeben kannst, welcher Menüpunkt angemeldeten und welcher Menüpunkt abgemeldeten Besuchern angezeigt wird. Hier kannst du zwei mal den Link “Log-in” zu deinem Menü hinzufügen, den ersten shaltest du für abgemeldete Besucher sichtbar. Den zweiten benennst du um in “Log-out” um und schaltest ihn für angemeldete Benutzer sichtbar. So sehen abgemeldete Besucher “Log-in”, und angemeldete Besucher “Log-out” im Menü stehen.“
      Ich hoffe, das konnte dir etwas weiterhelfen.
      Viele liebe Grüße,
      Kim Antworten
      • Josef S.12. September 2018 12:01 Hallo zusammen,
        was ich gemacht habe, um sich bequem auszuloggen:
        Den „Ausloggen“-Link von der Profilseite kopiert und auf der gesicherten Seite in einen „Ausloggen“-Button eingefügt. Funktioniert einwandfrei und ist sehr übersichtlich 😉
        LG Josef Antworten
  • Ben19. Juli 2018 9:51 Salut,
    Danke erstmal für die hammer Erklärung, war sehr leicht alles umzusetzten.
    Jetzt habe ich die Herrausforderung das ich, User habe die recht alt sind, und mit dem PC oft nicht klarkommen. Heißt Sie Loggen sich ein, machen dann aber irgendwas anderes, und gehen nach einer gewissen Zeit wieder auf dem LINK… den wir ihnen geschickt haben. Jetzt kommen sie aber auf dem Benutzerprofil raus, und nicht mehr auf der Redirekt-Seite. Manche sind nicht in der Lage den Logout button zu finden, egal wie groß man den macht -_- …
    meine Idee wäre eine Art: Autologout! Nach einer gewissen Zeit oder wenn mann den Tab oder das Fenster schließt oder so-….. !
    Hat jemand das schonmal gemacht, und hat dazu tips oder ideen? Danke schonmal…
    mit freundlichen Grüßen
    Ben Antworten
    • Daniel16. November 2018 18:07 Hi Ben,
      deine Frage ist zwar schon ein paar Monate alt, ich wollte an dieser Stelle aber dennoch eine Antwort darauf geben, da ich selbst auch eine solche Funktion haben wollte. Und vielleicht möchte es der eine oder andere, der in der Zukunft einen solchen Mitgliederbereich erstellen möchte, ebenfalls. Ich habe ihn selbst erst heute morgen eingerichtet, nachdem ich auf diese TOLLE Anleitung stieß.
      Nun endlich zur Antwort:
      Unter Einstellungen/Erweiterte Einstellungen hat man die Möglichkeit „Logout Member on Browser Close“ zu aktivieren.
      Viele Grüße
      Daniel von bo:mi:well® Antworten
  • Dennis5. Juli 2018 14:58 Hallo Kim und vielen Dank für die tolle Anleitung.
    Ich suche aktuell noch nach einer Möglichkeit auszulesen welcher membership der angemeldete User angehört um damit zu steuern welche Bereiche ihm angezeigt werden, bzw. ob der dynamisch generierte Content für ihn angezeigt werden soll.
    Also sowas wie aktuellerUser.get_membership();
    Um quasi abzufragen:
    $args = array(
    ‚post_parent‘ => $post->ID,
    ‚post_type‘ => ‚page‘,
    ‚orderby‘ => ‚menu_order‘
    );
    $child_query = new WP_Query( $args );
    while ( $child_query->have_posts() )
    {
    if (get_membership() == „1“)
    {
    echo “ . get_the_excerpt() . “;
    echo ‚mehr erfahren‚;
    }
    }
    Hast Du da eine Idee?
    Danke,
    Dennis Antworten
    • Kim Salewski 5. Juli 2018 15:16 Moin Dennis,
      So weit haben wir uns mit diesem Thema in Hinblick auf Simple Membership nicht auseinandergesetzt. Unser Beispiel war deutlich simpler und hat diese Funktion nicht benötigt.
      In diesem Falle lege ich dir eher nahe, dir ein umfangreicheres Plug-in zu suchen, was diese Funktion bereits mit sich bringt.
      Alternativ stelle deine Frage lieber in dem entsprechenden Plug-in Support-Forum: https://wordpress.org/support/plugin/simple-membership
      Viele liebe Grüße,
      Kim Antworten
      • Dennis5. Juli 2018 17:04 Moin Kim,
        ich habe es inzwischen lösen können. In der Klasse SwpmMemberUtils gibt es eine Methode dazu. Damit bekommt man die gewünschte ID.
        Musste mich halt durch die Klassen lesen, da sind so einige Methoden, die man gut nutzen oder ändern und nutzen kann.
        Die Lösung ist dann z.B. so:
        $member_id = SwpmMemberUtils::get_logged_in_members_id();
        Dann kann ich mit der Varible weiterarbeiten.
        Danke und viele Grüße,
        Dennis Antworten
  • Carsten 12. Juni 2018 18:08 Hallo, wunderbar erklärt und verständlich.
    Ich möchte allerdings, dass bestimmte eingeloggte Klienten nur den für sie bestimmten Inhalt sehen können … nicht in Gruppen – aber in Klienten unterteilt. Müsste ich dazu eigene Mitgliedschaftsstufen für jeden Klienten einrichten? Und dann die Startseite nach dem einloggen für jeden Klienten individuell einrichtenß
    GLG, Carsten Antworten
    • Kim Salewski 13. Juni 2018 8:53 Moin Carsten,
      Für einen einzelnen Klienten müsstest du ebenfalls ein eigenes Mitglied und eine eingene Mitgliedschaft anlegen, nach dem Prinzip oben, und dann lediglich diesem Klienten den Zugang zukommen lassen. Je nach dem, wie viele Klienten du hast, könnte das vielleicht unübersichtlich werden. Daher müsstest du hier wahrscheinlich eine andere Lösung in betracht ziehen.
      Viele liebe Grüße,
      Kim Antworten
      • Carsten 13. Juni 2018 11:24 Hallo Kim,
        vielen Dank für die schnelle Antwort. Da ich nur einem recht kleinen Kreis Zugang gewähren werde, nutze ich erst einmal SimpleMembership. Ich habe nach anderen Tools geschaut – diese sind dann zu umfangreich. So viel Aufhebens brauche ich am Ende nicht.
        Hugs, Carsten Antworten
  • oliver2. Juni 2018 1:41 Hallo Ihr Lieben,
    ihr habt mir mit dieser Anleitung sehr weitereholfen! Vielen Dank dafür. 2 Fragen hätte ich noch dazu:
    a) ich wollte ebenfalls den Text „Erinneren Sie mich…“ + dem Würfel unter dem Login rausnehmen.Das mit dem Text hatauch mit der mo. Datei funktioniert. Habt ihr eine Idee, wie ich den Würfel weg bekomme?
    b) wenn ich die Seite nun durch den Login geschützt habe und ebenfalls den Seitenschutz aktiviert habe, können Inhalte wohl trotzdem gesehen werden? Inhalte auf der Seite wie Produkte, Inhalte etc.?
    Vielen Dank schon mal für die Antwort(en) und liebe Grüße OG Antworten
    • Lukas19. November 2019 11:58 Hallo Oliver,
      ich habe das selbe Problem wie in deiner Frage a). Hast du mittlerweile eine Lösung gefunden? Bzw. welche mo. Datei meinst du?
      Vielen Dank vorab und liebe Grüße
      Lukas Antworten
  • Daniel29. Mai 2018 18:37 Hallo,
    sehr hilfreicher Beitrag. Ich nutze nun auch einen WordPress Mitgliederbereich, da ich nun einen Online-Kurs erstellt habe und diesen nur ausgewählte Leute sehen sollen. Also ich finde das Plugin klasse. Eigentlich war WordPress ja früher eher für Blogger gedacht und durch ein Membership Plugin wie Digimember kann man gleich viel mehr daraus machen.
    Beste Grüße
    Daniel Antworten
  • Vanessa16. Mai 2018 10:49 Halli hallo,
    vielen Dank für die wunderbare und ausführliche Anleitung. In meinem Fall möchte ich keine Downloads anbieten, sondern nur eine Seite für verschiedene (von mir vorgegebene Nutzer) zugänglich machen.
    Ich möchte allerdings gerne verfolgen können wer sich wann eingeloggt hat. Gibt’s dafür eine Möglichkeit?
    Vielen Dank schon mal 🙂 Antworten
  • Marcel9. Mai 2018 11:51 Hallo Kim,
    Danke für die tolle Anleitung. Kann man beim Download Monitor auch festlegen, welcher Benutzer welche Downloads abrufen kann? Ich habe 2 verschiedene Benutzer, die jeweils nur bestimmte Downloads abrufen können sollen. Das sie nur die gewünschten Seiten sehen funktionioniert ja über Simple Membership gut. Aber falls jetzt jemand über den Permalink zum Download verfügt, kann er die Datei runterladen egal als welcher Nutzer er eingeloggt ist. Gibt es eine Lösung, dass man die Datei nur runterladen kann, wenn man als der richtige User eingeloggt ist? Danke. Antworten
    • Thorsten Faltings 14. Mai 2018 12:53 Moin Marcel,
      wie im Beitrag beschrieben, können den beiden Benutzern unterschiedliche Seiten zugewiesen werden. Allerdings: kennt Benutzerin A von Benutzer B die Download-Links und ist eingeloggt, dann hätte sie auch Zugriff auf die Dateien. Soll auch diese Situation verhindert werden, müsste man sich eine alternative Strategie ausdenken.
      Ahoi!
      Thorsten Antworten
      • Marcel14. Mai 2018 20:20 Moin Torsten,
        ok danke für die Bestätigung des Sachverhalts. Dann habe ich erst mal nix falsch eingestellt. Antworten
  • Thomas 2. Mai 2018 20:36 Sehr schöne Lösung, genau was ich gesucht habe. Vielen Dank! Antworten
  • Uwe11. April 2018 5:27 Klasse Script was ich schon lange gesucht habe, alles eingebaut und es funktioniert…
    Was aber nicht funktioniert ist der Logout über die „Kontoseite“, klicke ich auf Logout leitet dieses mich um auf eine Seite meines Webhosters
    https://meinedomain.de/?swpm-logout=true ist der Link der dahinter liegt und weitergeleitet werde ich zu: http://s79.goserver.host/neutral/
    Hab ich da einen Denkfehler oder ist es etwas anderes?
    Danke schon mal Antworten
  • Stefan23. März 2018 18:34 Ein wirklich toller Beitrag, vielen Dank! Ich habe ihn soweit umgesetzt und angepasst, und es funktioniert auch alles, bis auf ein Problem: Wenn ich mich über meinen Desktop-PC einlogge, oder über verschiedene Apple-Tablets oder ein Samsung-Smartphone, werde ich zur angegebenen Seite weitergeleitet und bin eingeloggt, aber es funktioniert nicht über ein iPhone, dort wird mir immer der Hinweis ausgegeben, dass ich mich anmelden müsste, und ich kann mir das nicht erklären. Hat jemand dieses Problem auch, oder kann mir dazu Hilfestellungen geben? Vielen Dank im Voraus! Antworten
  • Klaus22. März 2018 17:17 Ich habe einfach auf der Download-Seite den Logout-Buttom eingefügt, einmal am Anfang und einmal am Ende. Antworten
  • Nicole22. März 2018 15:45 Hallo Kim, das ist ein super Beitrag – es steht alles drin, einfach und sehr nachvollziehbar erklärt 🙂 TOP.
    Nur eine Frage habe ich: Ich bin 1 zu 1 den Schritten gefolgt und es funktioniert super und ist genau das, was ich benötige. Wenn ich mich als Tester einlogge, wird mir aber leider kein Logout Button angezeigt.
    Wo steckt der denn? Muss ich den extra ausweisen oder programmieren?
    Danke für eine Rückmeldung.
    Grüße Nicole Antworten
    • Kim Salewski 22. März 2018 16:57 Liebe Nicole,
      das ist wahr, das Ausloggen findet bei diesem Plug-in/bei dieser Methode auf der Log-in Seite statt. Wenn man auf diese klickt, findet man dort den „Ausloggen“ Link.
      Eine Möglichkeit, das Ausloggen für Benutzer logischer zu gestalten wäre:
      1. Du benennst die Seite „Log-in“ in „Konto“ um.
      oder
      2. Du nutzt das Plug-in „Nav Menu Roles“, mit dem du angeben kannst, welcher Menüpunkt angemeldeten und welcher Menüpunkt abgemeldeten Besuchern angezeigt wird. Hier kannst du zwei mal den Link „Log-in“ zu deinem Menü hinzufügen, den ersten shaltest du für abgemeldete Besucher sichtbar. Den zweiten benennst du um in „Log-out“ um und schaltest ihn für angemeldete Benutzer sichtbar. So sehen abgemeldete Besucher „Log-in“, und angemeldete Besucher „Log-out“ im Menü stehen.
      Ich hoffe, das konnte dir etwas weiterhelfen.
      Viele liebe Grüße,
      Kim Antworten
      • Nicole28. März 2018 12:00 Hallo Kim,
        danke für die Rückmeldung. Sorry, ich konnte noch nicht an der Website weiterarbeiten – aber am Wochenende setze ich mich wieder ran. Gerne sag ich Bescheid, ob und wie ich es geschafft habe 🙂
        Danke nochmals für deine Zeit und die Tips.
        Grüße,
        Nicole
        @Klaus: Das klingt auch wie eine gute simple Lösung. Antworten
  • Constanze Straub 23. Februar 2018 11:00 Hallo Kim,
    ganz genau weiß ich nicht, was du meinst: Wenn ich mich als Mitglied ausloggen möchte, klicke ich im Menü oben auf „Logout“. Dann erscheint, wie auch vor Installation des Plugins, die Seite mit dem Befehl „Abmelden“. Hatte ich vor Installation des Plugins darauf geklickt, wurde ich tatsächlich auf die Startseite geführt. Jetzt wie gesagt werde ich auf die WP-Anmeldeseite geführt. Da ist also irgendwo ein Fehler, ich weiß nur nicht wo…
    Liebe Grüße,
    Constanze Antworten
    • Kim Salewski 23. Februar 2018 11:09 Hallo Constanze,
      Leider kann ich dir da nicht weiter helfen.
      Das Plug-in Nav Menu Roles hat lediglich die Funktion freigeschaltet, dass Menüpunkte für angemeldete/abgemeldete Besucher angezeigt werden.
      An dem Abmelden-Link auf der Log-in Seite von Simple Membership hat es (bei uns) nichts geändert.
      Leider kann ich hier nur sagen „Probieren geht über Studieren“. Teste, ob der Link wieder funktioniert, wenn das Plug-in Nav Menu Roles deaktiviert ist. Wenn ja, suche nach einem anderen in dieser Richtung.
      Viele Liebe Grüße,
      Kim Antworten
      • Constanze Straub 23. Februar 2018 11:18 Hallo Kim,
        ist schon okay, Support kann ich ja nicht erwarten. Du hast mir so schon sehr weitergeholfen, danke nochmals. Ich habe gerade das Plugin deaktiviert und das Problem existiert trotzdem noch. Muss also noch probieren und den Fehler suchen.
        Danke und liebe Grüße,
        Constanze Antworten
  • Constanze Straub 23. Februar 2018 8:28 Hallo Kim.
    Ein grandioser Beitrag! Sehr gut und sehr detailliert erklärt. Mein Kompliment. Ich stehe gerade vor genau dieser Herausforderung: ein Mitgliederbereich. Noch dazu auf einer dreisprachigen Seite. Ich habe dieses Plugin ausprobiert und es scheint zu funktionieren. Meine Aufgabe: Ein Teil der Website soll nur Mitgliedern zugänglich sein. Wie im obereren Beispiel brauche ich kein Passwort etc., das macht der Admin.
    Mein Problem ist: Wie ändere ich das Menü im Mitgliederbereich, damit dort zum Ausloggen nicht „Login“ steht, sondern eben „Logout“. Momentan komme ich auf die Seite zum Ausloggen, indem ich auf „Login“ klicke. Dort ist der korrekte Link zur Weiterleitung auf die Abmelden-Seite enthalten. Nur: Wie kann ich auf den Mitgliederseiten den Link „Login“ umbenennen in „Logout“? Ist das möglich? Oder geht es in einer WordPressinstallation nicht?
    Liebe Grüße,
    Constanze Antworten
    • Kim Salewski 23. Februar 2018 8:49 Moin Constanze,
      Ich würde folgendes Plug-in nutzen: Nav Menu Roles
      Dieses Plug-in erlaubt es dir, in deinem Menü bei einzelnen Menüpunkten anzugeben, ob diese nur von angemeldeten Benutzern, abgemeldeten Besuchern oder Benutzern mit speziellen Benutzerrollen gesehen werden können.
      Du könntest in dein Menü die Seite „Log-in“ zwei Mal einfügen. Den zweiten Menüpunkt „Log-in“ benennst du dann um in „Log-out“ und schaltest ihn durch das Plug-in nur für angemeldete Besucher sichtbar (so sehen abgemeldete Besucher diesen nicht). Genau so kannst du „Log-in“ nur für abgemeldete Besucher sichtbar machen, dann wirkt es, als würde aus Log-in nach dem Anmelden Log-out werden.
      Ich hoffe, das hat dir etwas geholfen, auf der Plug-in Seite findest du Screenshots, die sicherlich etwas Klarheit bringen.
      Viele Liebe Grüße,
      Kim Antworten
      • Constanze23. Februar 2018 10:03 Moin Kim,
        Danke sehr! Super Tipp, und dann noch so schnell. Ich bin begeistert!
        Ich probiere das Plugin aus. Theoretisch wären für dieses Problem ja verschiedene Möglichkeiten denkbar: Von vornherein für jede Seite ein eigenes, vom Theme unabhängiges Menü erstellen und entsprechend auf der Mitgliederseite ändern. Oder den ganzen Mitgliederbereich von vornherein auslagern auf eine Subdomain (mit neuem WordPress). Aber wie es aussieht, scheint die Plugin-Lösung eine wenig aufwendige Lösung. Danke sehr!
        Liebe Grüße
        Constanze Antworten
        • Constanze23. Februar 2018 10:37 Hallo Kim,
          es funktioniert leider nicht wie erhofft.
          Zwar klappt es mit der Sichtbarkeit der Links, also als eingeloggt Mitglied wird nur der Link Logout gezeigt (und umgekehrt, Nichtmitglieder sehen nur das Login).
          Doch wenn ich mich als Mitglied wieder auslogge, werde ich zur WP-Abmeldung geführt. Mache ich da gerade einen Denkfehler? Welche Einstellungen könnten Verkehr sein?
          Liebe Grüße
          Constanze Antworten
          • Kim Salewski 23. Februar 2018 10:44 Hallo Constanze,
            Hast du auf den Link „Logout“ und dann auf „Abmelden“ unten auf der Seite geklickt?
            Das sollte einen ganz normal ausgeloggt auf die Startseite zurückleiten.
            Liebe Grüße,
            Kim
  • Ute Bender21. Februar 2018 16:43 Vielen Dank für den tollen Beitrag. Genau das habe ich gesucht und es klappt auch wunderbar. Eine kleine Frage bleibt:
    Unsere Mitglieder gehören Gruppen an (das sind meine Level), die unterschiedlich Zugriff auf unsere Kursinhalte haben sollen. Der Kurs umfasst fast 130 Seiten. Füge ich nun eine neue Gruppe (Level) hinzu, die auf alle 130 Seiten zugreifen soll, muss ich dann jede Seite wieder aufrufen und per Klick die Zuweisung bestätigen, oder gibt es hier ein Addon oder Trick, wie ich schnell Mitglieder eines Levels alle Seiten zugänglich machen kann.
    Es wäre toll, wenn ihr einen Hinweis hättet.
    Besten Dank im voraus.
    Ute Antworten
    • Kim Salewski 22. Februar 2018 8:41 Moin Ute,
      Das ist eine sehr gute Frage. Ich habe mich einmal erkundigt und es gibt tatsächlich die Möglichkeit, mehrere Seiten (oder Beiträge) auf einmal zu schützen.
      Du begibst dich in dem Bereich „WP Mitgliedschaft“ zu dem Menüpunkt „Mitgliedschaftsstufen“. Dort findest du oben fünf Reiter, bei denen der letzte „Schutz von Beiträgen uns Seiten“ heißt. Hier erscheinen nun drei weitere Reiter, bei denen du Beiträge, Seiten, oder Benutzerdefinierte Beiträge (Custom Post Type) anhaken und mittels des DropDownMenüs oben allen samt die gewünschte Mitgliedschaftsstufe zuteilen kannst.
      Hier einmal ein Link, mit der Erklärung des Plug-in Autors, inklusive Screenshots (Englisch).
      Mehrere Seiten auf einmal schützen
      Viele liebe Grüße,
      Kim Antworten
  • Klaus16. Februar 2018 10:32 Danke für die schnelle und unkomplizierte Unterstützung.
    Schöne Grüße von der Isar an die Elbe. Antworten
  • Klaus15. Februar 2018 19:06 Ich habe diese interessante Funktion jetzt ausprobiert. Soweit läuft auch alles, aber bei Aufruf der Login-Seite werden Zugangsinformationen zur Seite sichtbar. Wie beim Backend von WP erscheint links “ Meine Websites“ und rechts das Profil und Logout-Möglichkeit für den angemeldeten Besucher. Ist das korrekt? Oder kann der Besucher sich somit Zugang zum kompletten Backend verschaffen? Antworten
    • Thorsten Faltings 15. Februar 2018 19:16 Moin Klaus,
      wir sind nicht sicher, ob wir dich richtig verstehen. Du siehst die Informationen nur, wenn Du eingeloggt, nicht aber, wenn du ausgeloggt bist?
      Indem Fall verstehen wir das Problem nicht.
      Ahoi!
      Thorsten Antworten
    • Thorsten Faltings 16. Februar 2018 9:04 Moin Klaus,
      um zu verhindern, dass Mitglieder ins Backend kommen, kannst Du ein Plug-in wie WP Admin No Show verwenden. Oder Du blendest unter den Benutzer-Einstellungen jeweils die Werkzeugleiste aus. Grundsätzlich können die Mitglieder aber nichts anrichten, wenn Sie die Benutzerrolle „Abonnent“ haben.
      Ahoi!
      Thorsten Antworten
    • Kim Salewski 16. Februar 2018 9:20 Moin Klaus,
      Ich habe den Beitrag um eine weitere Methode erweitert, die das Plug-in liefert. Generell erhalten Mitglieder die Rolle „Abonnent“ und können nichts an der Seite anpassen. Wenn man allerdings sicher gehen will, dass Sie nichts an dem Benutzer an sich ändern können, befolge die Schritte, die ich unter „Den Benutzer abhalten, seine Daten anzupassen“ hinzugefügt habe (ziemlich weit am Ende des Beitrags).
      Viele liebe Grüße,
      Kim Antworten
  • Hendrik Wiedermann 14. Januar 2018 15:24 Hallo, wie ermögliche ich einem User, das manuelle ausloggen am besten?
    Ich habe in den Einstellungen von simple Membership ausgewählt, dass keine Werkzeugleiste angezeigt wird. Antworten
    • Hendrik Wiedermann 14. Januar 2018 16:04 habe es schon heraus gefunden. Einfach den Link des Logout der beim erneuten Klick auf den Mnüpunkt zum Login, erscheint, kopieren und als Link auf der Seite einbinden, auf die mal den User oder die Stufe durch das PlugIn weiterleiten lässt.
      Allerdings wäre es nun noch gut zu wissen, wie ich den einzelnen Mitgliedern und deren Stufe, den Zugriff auf eine Galerie ermöglichen kann bzw. nichtangemeldeten dies eben nicht. Antworten
      • Thorsten Faltings 15. Januar 2018 10:05 Moin Hendrik,
        eine Galerie lässt sich grundsätzlich in den geschützten Seiten anlegen. Allerdings ist das Problem, dass die Bilder standardmäßig in einem öffentlichen Verzeichnis landen und grundsätzlich ungeschützt verteilt werden können.
        Eine Lösung für dieses Problem bietet das Plug-in Media Vault.
        Ahoi!
        Thorsten Antworten
  • Klaus9. Januar 2018 18:40 Toller Beitrag! Gibt es auch die Möglichkeit, jeden Download zu protokollieren? Z.B. wer, wann,was? Antworten


all-inkl cdn – cloudflare einrichten

DNS-Werkzeuge: Cloudflare

Schritt 1:

DNS-Werkzeuge - Cloudflare, Bild 1

Klicken Sie auf + Website hinzufügen.

Schritt 2:

DNS-Werkzeuge - Cloudflare, Bild 2

Geben Sie Ihre Domain ein und klicken Sie auf Website hinzufügen.

Schritt 3:

DNS-Werkzeuge - Cloudflare, Bild 3

Wählen Sie den von Ihnen gewünschten Tarif aus.

Schritt 4:

DNS-Werkzeuge - Cloudflare, Bild 4

Wenn die Ermittlung der DNS-Einträge korrekt funktioniert hat, sollte es in etwa wie auf diesem Bild aussehen.

Löschen Sie nun alle Einträge vom Typ „A“ und mit Name * (Wildcard), ihredomain.de und www.

Die Angabe ihredomain.de steht für den Namen Ihrer Domain.

Schritt 5:

DNS-Werkzeuge - Cloudflare, Bild 5

Fügen Sie folgenden Eintrag hinzu:

CNAME www <Ihr-Login>.kasserver.com

Bitte ersetzen Sie <Ihr-Login> durch den Loginnamen vom KAS (technische Verwaltung) z.B. w0123456.

Schritt 6:

DNS-Werkzeuge - Cloudflare, Bild 6

Fügen Sie nun den folgenden Eintrag hinzu:

CNAME @ <Ihr-Login>.kasserver.com

Bitte ersetzen Sie <Ihr-Login> durch den Loginnamen vom KAS (technische Verwaltung) z.B. w0123456.

Schritt 7:

DNS-Werkzeuge - Cloudflare, Bild 7

Fügen Sie folgenden Eintrag hinzu:

CNAME * <Ihr-Login>.kasserver.com

Bitte ersetzen Sie <Ihr-Login> durch den Loginnamen vom KAS (technische Verwaltung) z.B. w0123456.

Schritt 8:

DNS-Werkzeuge - Cloudflare, Bild 8

So sollte die Anzeige jetzt in etwa aussehen.

Hinweis:
Bitte achten Sie darauf, dass bei den Einträgen der Proxy-Status aktiv ist. Dies ist wichtig, damit Cloudflare auch als DDoS-Schutz funktionieren kann.

Klicken Sie auf Weiter.

Schritt 9:

DNS-Werkzeuge - Cloudflare, Bild 9

Nun werden Ihnen die Nameserver angezeigt, die für die Domain hinterlegt werden sollen.

Schritt 10:

DNS-Werkzeuge - Cloudflare, Bild 10

Für die Änderung der Nameserver der Domain senden Sie uns bitte einen Auftrag direkt über das Support-Formular in Ihrer MembersArea (vertragliche Verwaltung) unter „Support“.

Wenn Sie von uns die Benachrichtigung über die erfolgreiche Änderung erhalten haben, klicken Sie bei Cloudflare auf Nameserver prüfen.

Schritt 11:

DNS-Werkzeuge - Cloudflare, Bild 11

Wenn Sie Cloudflare als Proxy verwenden und für die Domain eine SSL-Verschlüsselung aktivieren möchten, sollte bei Cloudflare unter SSL/TLS die Option Vollständig gesetzt sein.

Bei uns benötigen Sie dann nur ein selbstsigniertes SSL-Zertifikat. Gehen Sie dazu in folgender Anleitung bis Schritt 3 vor:



Datenschutzrechtliches für die Videoüberwachung

Vorsicht, Kamera!

Datenschutzrechtliche Schranken für die Videoüberwachung

Vor Eingängen oder auf Grundstücken, private Überwachungskameras sind allgegenwärtig. Und allzu oft verstößt deren Einsatz gegen den Datenschutz, wie eine große Zahl von Beschwerden und Bußgeldern belegt. Was gilt es zu beachten?

Von Holger Bleich und Joerg Heidrich

kompakt

  • Kameras, die in den öffentlichen Raum gerichtet sind, erfassen personenbezogene Daten im DSGVO-Sinn.
  • Betreiber müssen eine ausreichende Rechtsgrundlage vorweisen können und Transparenzpflichten erfüllen.
  • Auch für den Betrieb von Türklingeln und Gegensprechanlagen mit Kamera gilt die DSGVO, weshalb sie schwer rechtskonform zu betreiben sind.

Als Dashcam, im Smartphone oder an Hauswänden zur Überwachung: Kameras sind im öffentlichen Raum allgegenwärtig. Sie lösen Bewegtbilder so gut auf, dass man Personen auch noch erkennen kann, wenn sie weit entfernt sind. Dabei sind die Kameras bisweilen so winzig, dass Hersteller sie nahezu unsichtbar in beliebige Geräte verbauen können.

Geraten Unbeteiligte unwissentlich ins Blickfeld einer Kamera, kann dies Rechte verletzen. Zum einen geht es ums Persönlichkeitsrecht, also den Anspruch auf Kontrolle übers eigene Bild. Zum anderen handelt es sich bei jeder Aufnahme von Menschen, die man auf den Bildern anhand beliebiger Merkmale identifizieren kann, um eine Erhebung personenbezogener Daten im datenschutzrechtlichen Sinn.

Die europäischen Datenschutz-Aufsichtsbehörden fassen deshalb den Begriff „Videoüberwachung“ sehr weit. In einer Orientierungshilfe (siehe ct.de/yq1q) definierte es die Datenschutzkonferenz (DSK) als gemeinsames Gremium der deutschen Behörden folgendermaßen: „Eine Videoüberwachung liegt vor, wenn mithilfe optisch-elektronischer Einrichtungen personenbezogene Daten verarbeitet werden. Von diesem Begriff werden nicht nur handelsübliche Überwachungskameras erfasst, sondern jegliche Geräte, die zur längerfristigen Beobachtung und somit für einen Überwachungszweck eingesetzt werden.“

Aus den Tätigkeitsberichten der Aufsichtsbehörden geht hervor, dass es in keinem anderen Bereich so viele Beschwerden von Privatleuten gibt wie dem der Videoüberwachung von öffentlichen Räumen. Und in diesem Bereich wurden europaweit seit Einführung der DSGVO auch mit großem Abstand die meisten Bußgelder verhängt.

Dabei kennt die DSGVO nicht einmal eine explizite Regelung für die Videoüberwachung. In den meisten Fällen greifen die Aufseher daher als potenzielle Rechtsgrundlage auf das sogenannte „berechtigte Interesse“ aus Art. 6 Abs. 1 f DSGVO zurück. Dessen Prüfung ist dreistufig aufgebaut.

Interesse berechtigt?

Zunächst muss eben dieses berechtigte Interesse auf der Seite des Kamerabetreibers vorliegen. Dies kann der Wunsch sein, das eigene Grundstück oder das Auto vor Diebstahl zu sichern, das Aufzeichnen von Straßenszenen bei Unfällen oder der Sichtkontakt zur klingelnden Person vor der Wohnungstür.

Der geplante Einsatz muss zudem erforderlich sein, um den beabsichtigten Zweck zu erreichen. Insbesondere darf es keine andere, zumutbare Maßnahme geben, die erwartbar weniger stark in die Rechte der betroffenen Personen eingreift. So mag es im Interesse des Betreibers eines Supermarkts liegen, durch Videoüberwachung zu verhindern, dass nachts auf seinem Parkplatz geparkt wird. Erforderlich wäre dies aber nicht, da er auch eine Schranke anbringen könnte und damit weniger in die Rechte von Personen eingreifen würde.

Ein berechtigtes Interesse allein reicht allerdings nicht aus. Vielmehr ist nach DSGVO im dritten Schritt eine Abwägung zwischen dem Interesse des Kamerabetreibers mit den „Interessen oder Grundrechten und Grundfreiheiten der betroffenen Personen“ notwendig. Und deren Interessen überwiegen in vielen Fällen, wenn für die Videoüberwachung nicht sehr gute Gründe vorliegen. Diese können zum Beispiel bei der Überwachung besonders gefährlicher Anlagen oder gefährdeter Bereiche in Bankfilialen angenommen werden.

In den meisten Fällen wird die Abwägung aber nicht so eindeutig ausfallen. So stehen beispielsweise die Interessen eines Unternehmens, jenen Eingangsbereich zu überwachen, in dem es wiederholt zu Diebstählen kam, denen der Mitarbeiter gegenüber, nicht beim Kommen und Gehen überwacht zu werden.

In solchen Fällen kommt es dann auch darauf an, wie die Überwachung konkret gestaltet wird. Hierzu kann der Aufnahmewinkel und -bereich gehören, den die Kamera erfasst. Falls die Kamera nicht nur einen Livefeed liefert, sondern auch aufzeichnet, spielen außerdem Speicherfristen und Zugriffsbeschränkungen aufs Material eine Rolle.

Zudem ist rechtlich relevant, ob die Betroffenen eine Überwachung erwarten. Dies haben Aufsichtsbehörden und Gerichte in der Vergangenheit besonders für Orte wie Tankstellen, Banken, Kaufhäuser oder den öffentlichen Nahverkehr als gegeben angesehen. Dagegen überwiegen die schutzwürdigen Interessen der Betroffenen meist an Orten wie Schwimmbädern, Innenbereichen von Hotels oder Restaurants, Sitzecken in Bäckereien, Schulen und natürlich Sanitäranlagen.

Wie unangenehm es werden kann, wenn Vorgaben nicht eingehalten werden, musste Anfang 2021 der Computerhändler notebooksbilliger.de erfahren [1]. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Erfasst hat er unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche. Auch Kunden von notebooksbilliger.de waren von der unzulässigen Videoüberwachung betroffen, da einige Kameras auf Sitzgelegenheiten im Verkaufsraum gerichtet waren.

Die Argumentation des Händlers, dass es Ziel der installierten Videokameras gewesen sei, Straftaten zu verhindern und aufzuklären sowie den Warenfluss in den Lagern nachzuverfolgen, überzeugte die zuständige Datenschutzbehörde in Niedersachsen nicht. Allerdings ist der Fall noch vor Gericht und es ist offen, ob das hohe Bußgeld von 10,4 Millionen Euro für den Fall tatsächlich angemessen ist.

Transparenzanforderungen

Selbst wenn er eine valide Rechtsgrundlage für eine Videoüberwachung vorhält, kann der Verantwortliche immer noch viel falsch machen. Denn neben der Rechtmäßigkeit fordert die DSGVO auch die Transparenz der Verarbeitung: Aus Art. 12 und den nachfolgenden Vorschriften ergeben sich weitgehende Informationspflichten in Richtung der potenziell Betroffenen.

Der Verantwortliche muss ein Informationsschild anbringen, das bildlich durch ein Kamerasymbol auf die Beobachtung hinweist. Zusätzlich ist viel Text erforderlich: Es muss die Identität des Verantwortlichen angegeben sein, außerdem seine Kontaktdaten und im Fall eines Unternehmens die des Datenschutzbeauftragten. Betroffene müssen über Zwecke und Rechtsgrundlagen der Videoüberwachung sowie die maximale Speicherdauer der Aufzeichnungen hingewiesen werden. All dies gehört schließlich auf ein möglichst großes Schild gedruckt und gut sichtbar ausgehängt.

Ein editierbares Muster der Datenschutzbehörden zeigt, wie ein rechtskonformer Hinweis auf Videoüberwachung aussehen muss (siehe ct.de/yq1q)., Quelle: LfDI Niedersachsen
Ein editierbares Muster der Datenschutzbehörden zeigt, wie ein rechtskonformer Hinweis auf Videoüberwachung aussehen muss (siehe ct.de/yq1q). Quelle: LfDI Niedersachsen

Noch weitergehende Informationspflichten, etwa obligatorische Angaben zu den Rechten auf Auskunft, Widerspruch, Löschung der Aufnahmen sowie auf die Beschwerdemöglichkeit bei der Datenschutzaufsichtsbehörde, dürfen ins Web ausgelagert werden. Es genügt, einen Link oder einen QR-Code anzugeben. Immerhin: Die Datenschutzbehörden bieten hierfür Vorlagen als PDF- oder Word-Dateien, die Sie für den eigenen Gebrauch anpassen können (siehe ct.de/yq1q).

Datenschutzfolgenabschätzung

Besteht durch einen technischen Prozess ein besonders hohes Risiko für die Privatsphäre von potenziell davon Betroffenen, so hat der Verantwortliche laut DSGVO vorab eine sogenannte Datenschutzfolgenabschätzung durchzuführen. Es geht um eine verschriftlichte Risikoabschätzung unter datenschutzrechtlichen Gesichtspunkten. Eine solche Pflicht besteht nach Ansicht der DSK auch bei der Videoüberwachung, und zwar explizit dann, wenn die Verarbeitung ein „hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zur Folge hat (Art. 35 Abs. 1 DSGVO).

Das umfasst insbesondere Systeme, die unzählige Personen in einem öffentlichen Bereich erfassen. Hierzu zählen der DSK zufolge etwa Kameras in Sport-, Versammlungs- und Vergnügungsstätten, Bahnhöfen, Einkaufszentren und Parkräumen. Ausgenommen ist die Überwachung von privaten Bereichen, die nicht öffentlich zugänglich sind. Das gilt sowohl für Unternehmen als auch für Privatpersonen, die ihr eigenes Grundstück überwachen wollen.

Sofern letztere es schaffen, nur ihren eigenen privaten Bereich zu erfassen – und nicht den öffentlichen Raum oder den Garten des Nachbarn – findet die DSGVO ohnehin keine Anwendung. Denn das Gesetz gilt grundsätzlich nicht für die „Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten“. Allerdings wird diese Schwelle schnell gedankenlos überschritten, etwa bei der „Überwachung“ des öffentlichen Verkehrsraums mit Auto- oder Fahrrad-Dashcams – hier tangiert man immer die Rechte Dritter.

Videoüberwachung bei Autos

Vor allem Teslas „Wächtermodus“ hat dazu geführt, dass derzeit viel über 360-Grad-Kameraüberwachung moderner Fahrzeuge diskutiert wird. Diese geht weit über die Dashcam-Aufnahmeproblematik hinaus, zu der mittlerweile gefestigte Rechtssprechung existiert [2].

Aufsehen hat zuletzt ein Bußgeld erregt, das die niedersächsische Landesdatenschutzaufsicht Ende Juli dieses Jahres verhängt hat: 1,1 Millionen Euro muss Volkswagen für Datenschutzverstöße während einiger Forschungsfahrten zahlen, bei denen Techniker die Funktionsfähigkeit eines Fahrassistenzsystems zur Vermeidung von Verkehrsunfällen getestet hatten. Kameras hatten das Verkehrsgeschehen rund um den Wagen zur Analyse von Fehlern aufgezeichnet.

Der Behörde fehlte eine Datenschutzfolgenabschätzung für das Vorhaben. Vor allem aber monierte sie, dass keine Magnetschilder mit einem Kamerasymbol und die weiteren vorgeschriebenen Informationen für alle Verkehrsteilnehmer vorhanden waren. Diese hätten darüber aufgeklärt werden müssen, wer die Verarbeitung zu welchem Zweck durchführt und wie lange die Daten gespeichert werden. Wie Betroffene die Informationen während einer Autobahnfahrt dem Schild am Testfahrzeug hätten entnehmen können, sagte die Behörde nicht. Volkswagen hat das Bußgeld akzeptiert.

Doorbell-Cams

Ein weiteres datenschutzrechtliches Problem, das vor allem Privatleute betrifft, bilden vernetzte Wohnungs- und Haustürklingeln, die außerdem eine HD-Kamera enthalten. Weil diese Geräte insbesondere von Amazons Tochterfirma Ring bereits für unter 100 Euro zu haben und extrem leicht zu installieren sind, finden sie sich mittlerweile neben vielen Eingangstüren. Das eigentlich obligatorische Hinweisschild mit Kamerasymbol sucht man meist vergebens. Hier besteht akute Bußgeldgefahr, falls sich Nachbarn oder Passanten bei der zuständigen Datenschutzaufsicht beschweren.

Die Vorgaben der DSK sind unmissverständlich: Unbedenklich seien die Systeme nur dann, wenn sie keinen öffentlichen Raum erfassen und „eine Bildübertragung erst nach Betätigung der Klingel ermöglichen, eine dauerhafte Speicherung der Bildaufnahmen ausschließen, räumlich nicht mehr abbilden, als ein Blick durch einen Türspion gewähren würde, und wenn die Übertragung nach einigen Sekunden automatisch unterbricht“.

Fast alle Funktionen, die Ring in seinen Prospekten bewirbt, muss man demnach unbedingt abschalten – etwa die Aktivierung durch Bewegungsmelder oder via App und die dauerhafte Speicherung der Aufnahmen in der Amazon-Cloud. Ring beziehungsweise Amazon machen darauf an keiner Stelle aufmerksam, weshalb dies kaum einem begeisterten Anwender bewusst sein dürfte.

Immerhin findet sich in der Ring-App die Möglichkeit, zwei rechteckige „Privatsphärenbereiche“ im Blickfeld der Kamera definieren zu können. Diese Felder bleiben schwarz, und Ring garantiert, dass darin keine Aufzeichnung stattfindet. So kann man beispielsweise die Wohnungstür des Nachbarn oder den erfassten Teil des Gehwegs vorm Haus maskieren.

In der Ring-App lassen sich rechteckige Bereiche im Blickfeld von der Aufnahme ausschließen, etwa der Wohnungseingang gegenüber., Bild: ring.com
In der Ring-App lassen sich rechteckige Bereiche im Blickfeld von der Aufnahme ausschließen, etwa der Wohnungseingang gegenüber. Bild: ring.com

Während deutsche Datenschutzbehörden bislang nur vereinzelt Bußgelder wegen Video-Türklingeln an Privatleute aussprechen, sieht das etwa in Spanien ganz anders aus: Agencia Española de Protección de Datos verhängt jeden Monat derlei Bußgelder, meist zwischen 300 und 600 Euro. Es scheint nur eine Frage der Zeit, bis dieser Trend auch andere EU-Behörden erreicht. (hob@ct.de)

  1. Literatur
  2. Holger Bleich, Joerg Heidrich, Teure Überwachung, notebooksbilliger.de soll 10,4 Millionen Euro Bußgeld zahlen, c’t 4/2021, S. 164
  3. Dr. Michael Koch, Vorsicht Datenschleudern!, Was beim Datenschutz im Auto zu beachten ist, c’t 1/2022, S. 28

DSK-Infos und editierbare Vorlagen: ct.de/yq1q



Jenseits von Instagram – Fotos teilen mit Pixelfeld

Jenseits von Instagram

Freie soziale Medien: Fotos teilen mit Pixelfed

Soziale Medien sind üblicherweise in der Hand großer US-Unternehmen, die mit Daten Geld verdienen und so das Vertrauen vieler Nutzer verloren haben. Es gibt aber Alternativen zu Instagram & Co.: Pixelfed ist Open Source, kostenlos und werbefrei. Wir zeigen, wie die ersten Schritte damit gelingen.

Von Anna Simon

kompakt

  • Weil Twitter und Facebook Vertrauen verspielt haben, wünschen sich viele Nutzer freie Angebote.
  • Pixelfed, eine Open-Source-Alternative zu Instagram, läuft dezentral und harmoniert mit der Twitter-Alternative Mastodon. Zusammen bilden sie das Fediverse.
  • Noch läuft nicht alles rund, aber Pixelfed bietet bereits zahlreiche Vorteile: keine Werbung, keine Datensammelei und keine Abhängigkeit vom Gutdünken eines Anbieters.

Nicht erst seit dem Debakel um die geplante Übernahme von Twitter durch Elon Musk erfreut sich das sogenannte Fediverse großer Beliebtheit. Zu ihm gehören die Twitter-Alternative Mastodon [1] und das soziale Medium für Fotosharing Pixelfed, dessen Nutzung wir im Folgenden erklären. Pixelfed ist seinem beliebten Vorbild Instagram weitgehend nachempfunden und daher einfach zu bedienen. Die Entwickler betonen aber, dass Privacy im Unterschied zu Instagram groß geschrieben wird, das soziale Medium also keine Daten an Dritte übermittelt.

Das Kofferwort Fediverse setzt sich aus „federated“ und „universe“ zusammen. Ersteres deutet an, dass die zugehörigen Netzwerke dezentral organisiert sind, das heißt, sie werden nicht von einem einzigen Anbieter bereitgestellt. Vielmehr handelt es sich bei den Diensten des Fediverse um Open-Source-Programme, die jeder auf seinem eigenen Server betreiben kann [2]. Die Pixelfed-Installation auf einem Server heißt Instanz. Wie man eine eigene Pixelfed-Instanz einrichtet, ist gut dokumentiert, jedoch ungleich komplizierter als die Nutzung des Netzwerks und dafür auch nicht nötig: Pixelfed-Instanzen gibt es ausreichend viele; in diesem Artikel geht es ausschließlich um die Nutzung des Dienstes.

Die Instanzen kommunizieren miteinander und bilden gemeinsam ein Netzwerk, zeigen also auch Foto-Postings von anderen Instanzen an. Die Technik ähnelt dem Prinzip von E-Mail und RSS-Feeds. Die Server spiegeln nicht die Daten der anderen Instanzen, rufen sie aber ab. Der kanadische Entwickler dansup gründete das Projekt Pixelfed. Er ist auch der Admin von pixelfed.social, der ältesten und mit über 55.000 Nutzern größten Pixelfed-Instanz. Daneben gibt es der Webseite fediverse.party zufolge über 200 weitere Instanzen. Die zweitgrößte ist dessen deutschsprachiges Pendant pixelfed.de mit mehr als 10.000 Nutzern. Darüber hinaus gibt es noch einige weitere Instanzen aus anderen Ländern und in anderen Sprachen.

Pixelfed vs. Instagram

Für Pixelfed spricht, dass dort vor allem neue Accounts wegen der kleinen, aktiven Community schneller Beachtung finden als bei Instagram. Dort lag im Jahr 2021 die Anzahl der monatlich aktiven Instagram-Nutzer weltweit bei über einer Milliarde. Das birgt zum einen großes Potenzial, zum anderen geht da auch einiges unter. Pixelfed sortiert den Feed nicht über einen Algorithmus, der Inhalte als beliebt einstuft oder gesponserte Inhalte bevorzugt. Die Medien erscheinen stets in chronologischer Abfolge.

Dank des dezentralen Funktionsprinzips von Pixelfed liegt nicht das gesamte Netzwerk lahm, wenn ein Anbieter ausfällt, da alle anderen Instanzen noch funktionieren und miteinander kommunizieren. Zudem sammelt Pixelfed keine Daten über seine Nutzer, um sie für maßgeschneiderte Werbeanzeigen zu verwenden. Pixelfed ist völlig werbefrei.

Sie können Pixelfed auch als eine einfache Webgalerie nutzen. Einerseits können Sie sogenannte „Collections“ oder Fotoalben erstellen. Andererseits ist das Pixelfed-Profil in der Standardeinstellung mitsamt aller Inhalte öffentlich sichtbar, also auch für Besucher, die kein Pixelfed-Konto haben. Außerdem beschränkt Pixelfed nicht die Auflösung der hochgeladenen Fotos, sondern lediglich die Dateigröße auf 15 MByte. Bei Instagram beträgt die maximale Breite unzeitgemäße 1080 Pixel.

Pixelfed und Mastodon sind miteinander kompatibel, da beide das Kommunikationsprotokoll ActivityPub verwenden. Pixelfed-Nutzer können Mastodon-Nutzern folgen und deren Inhalte liken und kommentieren – und umgekehrt.

Eine Instanz auswählen

Eigentlich spielt es keine Rolle, bei welcher Pixelfed-Instanz Sie Ihr Benutzerkonto anlegen, weil die Anbieter im Fediverse vernetzt sind und Sie auch Inhalte der anderen Server zu sehen bekommen. Allerdings bevorzugt die Software Fotos auf demselben Server, zeigt einzelne Fotos von anderen Servern zuweilen nicht oder erst später an. Sofern Sie Aufnahmen von Landschaften, Porträts und Ähnliches präsentieren wollen, sind die beiden größten Pixelfed-Instanzen pixelfed.social und pixelfed.de eine gute Wahl. Einzelne Instanzen haben unterschiedliche Benutzerregeln, die je nach Standort des Servers unterschiedlichen nationalen Gesetzen unterworfen sind.

Egal welche Instanz sie wählen: Die Bedienoberfläche von Pixelfed ist nicht vollständig übersetzt. In der deutschen Oberfläche sehen Sie daher bei manchen Elementen die englische Bezeichnung. Außerdem haben die Entwickler offenbar maschinell übersetzen lassen, was stellenweise unfreiwillig komisch wirkt. Der Einfachheit und Verständlichkeit halber halten wir uns daher an die ausgereifte englische Bedienoberfläche.

Unter „Trending“ sehen Sie die 30 beliebtesten Fotos auf dem Pixelfed-Server.
Unter „Trending“ sehen Sie die 30 beliebtesten Fotos auf dem Pixelfed-Server.

Privat oder öffentlich

Zunächst registrieren Sie sich auf der Instanz Ihrer Wahl mit E-Mail-Adresse und Kennwort. Anschließend erscheint die Startseite Ihres neuen Pixelfed-Kontos. Sie teilt sich auf größeren Bildschirmen in drei Spalten. Der Home-Feed in der Mitte zeigt Fotos von Nutzern, denen Sie folgen. Über die linke Spalte greifen Sie auf zentrale Funktionen zu. In der Notifications-Leiste ganz rechts sehen Sie, wenn andere Nutzer auf Ihre Medien reagieren oder Ihnen private Nachrichten schreiben.

Ein Klick auf „Global Feed“ zeigt eine Zeitleiste mit Fotos und Videos, die gerade auf allen möglichen Servern veröffentlicht wurden, die das ActivityPub-Protokoll nutzen. Unter „Local Feed“ erscheinen hingegen nur Medien, die Nutzer auf dem gleichen Server hochgeladen haben. Über „Direct Messages“ kommunizieren Sie mit einzelnen Nutzern über Privatnachrichten. Das funktioniert auch mit Nutzern auf anderen Instanzen.

In den Einstellungen hinter dem Zahnradsymbol rechts neben Ihrem Profilfoto verbergen sich wichtige Optionen, zum Beispiel beim Reiter „Privacy“. Setzen Sie dort ganz oben einen Haken bei „Private Account“, um Ihr Pixelfed-Konto für allgemeinen Zugriff zu sperren. Ihre Inhalte sehen dann nur Nutzer, die Sie als Follower akzeptieren. Anders als bei Instagram müssen Sie jeder Anfrage eines potenziellen Followers aktiv zustimmen. Damit ziehen Sie keine ungewollten Spam-Accounts an wie bei dem Dienst von Meta.

In der Registerkarte „Media“ wählen Sie die Lizenz aus, unter der Ihre Inhalte standardmäßig veröffentlicht werden. Inhalte, Follower und Einstellungen können Sie unter „Data Export“ exportieren, um sie später in ein neues Konto zu importieren. Das funktioniert bei der neuen Instanz jedoch nur, wenn dort auch die Importfunktion aktiv geschaltet ist.

Leider gibt es keine empfehlenswerten Mobil-Apps für Pixelfed. Hier muss die Community noch nachbessern. Die Android-App PixelDroid kann man zwar über den Open-Source-App-Store F-Droid installieren. Sie bietet jedoch nur wenige Funktionen und ist komplizierter zu bedienen als die Web-Oberfläche. Für iOS steht gar kein eigener Pixelfed-Client zur Verfügung. Die Mastodon-App Tusky kann Pixelfed-Inhalte wiedergeben, allerdings zeigte sie im Test nur Medien von der eigenen Instanz sauber an. Fotos von anderen Instanzen gab sie nur verschwommen wieder. Anders als bei kommerziellen sozialen Netzwerken ist also die Web-Oberfläche die erste Adresse. Sie liefert das beste Bedienkonzept und skaliert sehr gut auf unterschiedlich aufgelösten Bildschirmen.

Inhalte im Feed veröffentlichen

Mit der großen blauen Schaltfläche „Create New Post“ in der linken Spalte gelangen Sie zur Upload-Seite für neue Medien. Ein Pixelfed-Post kann mehrere Medien enthalten: Außer einem einzelnen Foto oder Video können Sie auch eine Serie von bis zu zehn Aufnahmen teilen. Alternativ veröffentlichen Sie gleich ein ganzes Album – diese Möglichkeit bietet Instagram nicht.

Nach Auswahl eines einzelnen Fotos zeigt Pixelfed zunächst eine „1“ – die Zahl repräsentiert die Anzahl ausgewählter Medien – und links daneben einen rückwärts zeigenden Pfeil. Ein Klick darauf öffnet eine Vorschau des Fotos. Dort können Sie über das Plus-Symbol weitere Fotos hinzufügen. Unterhalb der Vorschau sehen Sie verschiedene, an Instagram erinnernde Farbeffekte als Miniaturansichten des hochgeladenen Fotos. Ein Klick auf die Miniansicht wendet den jeweiligen Effekt an. Ein Klick auf „No Filter“ nimmt die farbliche Verfremdung wieder zurück. Die Schaltfläche „next“ führt wieder zurück zu den Veröffentlichungsoptionen des Posts.

Eine Zahl markiert, wie viele Fotos ein neuer Post enthält. Die Option „NSFW“ (not safe for work; nicht für den Arbeitsplatz geeignet) weist beispielsweise auf Aktaufnahmen hin.
Eine Zahl markiert, wie viele Fotos ein neuer Post enthält. Die Option „NSFW“ (not safe for work; nicht für den Arbeitsplatz geeignet) weist beispielsweise auf Aktaufnahmen hin.

Hashtags und Rechte

Das Eingabefeld „Write a caption“ nimmt neben einer Bildbeschreibung bis zu 30 Hashtags auf. Letztere müssen Sie nicht so genau recherchieren wie bei Instagram, denn sie gehen bei Pixelfed weniger in der Masse unter. Wenn Sie ein Landschaftsfoto veröffentlichen, verwenden Sie beschreibende Hashtags wie #landscape, #landschaft oder #nature. Prüfen Sie Ihre Einträge sorgfältig, denn nachträgliche Korrekturen sind nicht möglich.

Nutzen Sie ruhig Hashtags in verschiedenen Sprachen: Wichtig sind Englisch, Deutsch, Spanisch und Französisch. Arabische und russische Hashtags liefern kaum Suchergebnisse, obwohl es viele arabische und russische Nutzer gibt. Viele Chinesen und Japaner nutzen zwar Mastodon, bei Pixelfed spielen asiatische Sprachen allerdings keine große Rolle.

Eine interessante Veröffentlichungsoption heißt „Contains NSFW Media“. Die Abkürzung steht für „not safe for work“. Diese Inhaltswarnung verwendet man unter anderem für Aktaufnahmen. Auf diese Weise gekennzeichnete Fotos zeigt die Seite erst an, wenn man auf „See Post“ unter der NSFW-Warnung klickt. Ansonsten bleibt das Bild unkenntlich.

Unter „Add license“ stehen verschiedene Creative-Commons-Varianten zur Wahl, zum Beispiel mit Zwang zur Namensnennung und Beschränkung auf nicht-kommerzielle Nutzung.
Unter „Add license“ stehen verschiedene Creative-Commons-Varianten zur Wahl, zum Beispiel mit Zwang zur Namensnennung und Beschränkung auf nicht-kommerzielle Nutzung.

Wichtig ist auch die Option „Add license“. Damit legen Sie fest, wofür andere Ihre Aufnahme verwenden dürfen. Zur Auswahl stehen vor allem sogenannte Creative-Commons-Lizenzen. Dabei handelt es sich um Standard-Lizenzverträge zur Nutzung unter Bedingungen, die auf creativecommons.org/licenses/ anschaulich und ausführlich dokumentiert sind. Die Grundlizenz fordert nur die namentliche Nennung des Urhebers. Sie wird mit „CC BY“ gekennzeichnet. Für einschränkende Lizenzen gibt es Zusätze: Sie geben keine Erlaubnis zur Bearbeitung (CC BY-ND), verlangen die Weitergabe des Werkes unter den gleichen Lizenzbedingungen (CC BY-SA) oder erlauben ausschließlich die nicht-kommerzielle Nutzung (CC BY-NC). Sie müssen sich diese Bezeichnungen aber nicht merken, sondern können eine anschauliche Bezeichung wie „Attribution – non commercial“ wählen, also in diesem Fall Namensnennung und nicht-kommerzielle Nutzung.

Unter „Audience“ bestimmen Sie, wer Ihr Foto betrachten darf. Die Optionen „Public“ und „Followers“ erklären sich von selbst. Mit „Unlisted“ dürfen ausschließlich Pixelfed-Nutzer den Post sehen, einschließlich derjenigen, die keine Follower sind.

Eine einfache Statistik in Pixelfed zeigt unter anderem eine Liste Ihrer beliebtesten Uploads.
Eine einfache Statistik in Pixelfed zeigt unter anderem eine Liste Ihrer beliebtesten Uploads.

Eine Story erstellen

Sie können in Pixelfed Stories veröffentlichen, deren Inhalte nach 24 Stunden wieder aus dem Feed verschwinden – wie in Instagram, das diese Option seinerseits von Snapchat abgekupfert hat. Neue Stories sehen Sie ganz oben in Ihrer Timeline in Form eines kleinen stehenden Rechtecks. Als Inhalt einer Story eignen sich Fotos und kurze Videos, die über den Tag hinaus wenig Relevanz haben.

Wie bei anderen Posts auch beginnen Sie eine Story mit „Create New Post“ und wählen anschließend „New Story“. Nach dem Hochladen des Fotos zeigt die Software ein Zuschneiden-Werkzeug, das aber nicht zuverlässig funktioniert. Sie sollten daher Medien für Storys zuvor mit einem Bild- oder Videobearbeitungsprogramm in das 9:16-Format bringen. Anders als bei Instagram können Sie die Anzeigedauer der Story selbst bestimmen. Ein Story-Element wird wahlweise 5 bis 15 Sekunden lang angezeigt. Außerdem können Sie Reaktionen und Antworten auf Ihre Story erlauben oder verbieten.

Mastodon und andere Instanzen

Ein Teil der Reaktionen auf Ihre Inhalte wird von Mitgliedern kommen, deren Profil scheinbar leer ist. Meistens handelt es sich dabei um Mastodon-Nutzer oder um Besucher anderer Pixelfed-Instanzen. Sie erkennen sie am Layout des Nutzernamens: Bei Mitgliedern, die dieselbe Instanz nutzen wie Sie, zeigt Pixelfed lediglich den Nutzernamen. Gehört er einer anderen Instanz an oder stammt der Nutzer von Mastodon, dann folgt nach dem Benutzernamen ein @-Zeichen und dann der Name der Instanz, also zum Beispiel betazoid@pixelfed.social.

Innerhalb einer Instanz zeigt Pixelfed für Nutzer, die auf einem anderen ActivityPub-kompatiblen Server zu Hause sind, eine Art generisches, aber leeres Profil. Nur das Originalprofil auf der Heimat-Instanz des Nutzers zeigt hochgeladene Inhalte – dorthin müssen Sie also erst mal gelangen: Wenn Sie in so einem generischen Profil auf den Nutzernamen klicken, leitet die Software Sie zur tatsächlichen Profilseite auf deren heimischem Server weiter.

Wenn Sie allerdings in diesem Ursprungsprofil auf „Follow“ klicken, sehen Sie nur eine Aufforderung, sich auf diesem Server anzumelden. Das funktioniert aber nicht, weil Sie dort kein Konto besitzen. Um dem Nutzer zu folgen, gehen Sie also wieder zurück zum leeren Pixelfed-Profil auf Ihrem Heimatserver und klicken dort auf die Follow-Schaltfläche. Die neuesten Uploads dieses Nutzers erscheinen dann in Ihrer Timeline, obwohl sie nicht im generischen Profil sichtbar sind. Leider sehen Sie keine seiner Statusmeldungen, die nur aus Text bestehen, sondern nur Posts mit Fotos und Videos.

Optimalerweise nutzen Sie Pixelfed in Kombination mit Mastodon. In Pixelfed gibt es unterhalb einzelner Fotos zwar eine Schaltfläche zum Teilen, doch nur Mastodon-Nutzer sehen auf diese Weise geteilte Inhalte. Pixelfed-Nutzer sehen nur selbst erstellte Posts.

Mastodon-Nutzer (links) haben automatisch auch ein Pixelfed-Profil (rechts) und umgekehrt.
Mastodon-Nutzer (links) haben automatisch auch ein Pixelfed-Profil (rechts) und umgekehrt.

Fazit

Pixelfed ist noch nicht perfekt: Der Wechsel zwischen den Servern und zu Mastodon ist nicht gut gelöst und daher auch nicht leicht zu durchschauen, eine gute Mobil-App steht nicht zur Verfügung. Dennoch ist der Dienst nicht nur für Nutzer interessant, die Wert auf Datenschutz und Privatsphäre legen. Zwar tummeln sich auf Pixelfed deutlich weniger Nutzer als auf den Diensten des Meta-Konzerns. Das Konzept und die Technik ermöglichen neu hinzugekommenen Nutzern aber auch einen leichteren Start als Instagram, wo es ohne teures Sponsoring schwerfällt, Follower anzuziehen.

Trotz der einen oder anderen Einschränkung macht Pixelfed Spaß, da gute Inhalte ohne Werbung und undurchschaubare Algorithmen zur Geltung kommen. Mittlerweile tummeln sich auf Pixelfed hervorragende Fotografen, sodass sich ein Blick allemal lohnt. (akr@ct.de)

  1. Literatur
  2. Andreas Itzchak Rehberg, Inseln der Seligen, Mastodon: Dezentrale Alternative zum sozialen Netzwerk Twitter, c’t 7/2021, S. 128
  3. Andreas Itzchak Rehberg, Michael Link, Die wunderbare Welt, Fediverse: Soziale Netzwerke in Nutzerhand, c’t 23/2020, S. 142


QR-Codes – Sicherheitsprobleme

Gefahr im Bithaufen

QR-Codes: Sicherheitsproblem oder nicht?

QR-Codes können ähnlich wie Phishing-Mails Träger gefährlicher URLs sein. Wir erklären, welche Tricks sich Kriminelle ausgedacht haben und worauf Sie beim Scan von QR-Codes achten müssen.

Von Wilhelm Drehling

Die quadratischen Codes sind im Alltag nützliche Helfer: Mit einem Scan können Sie eine URL aufrufen, einen Kontakt hinzufügen oder dem Gast zu Hause das Abtippen des WLAN-Passworts ersparen. Weil sie praktisch sind und auch mal leichtfertig gescannt werden, haben auch Angreifer ihre Freude an QR-Codes gefunden. Denn das Aussehen des QR-Codes verrät nichts über dessen Inhalt, so kann sich in dem Pixelhaufen ein gefährlicher Link zu einer täuschend echten Anmeldeseite einer Fake-Bank oder zu einem Trojaner verbergen. In den vergangenen Jahren haben Kriminelle originelle Methoden erfunden – denen man aber zum Glück nicht schutzlos ausgeliefert ist.

Quishing

Das erste Angriffsszenario gehört in die Kategorie der Phishing-Angriffe: Vermutlich kommen Ihnen dubiose Mails wie „PayPal: Ihr Konto ist vorübergehend eingeschränkt“ bekannt vor. Mit solchen Mails versuchen die Angreifer häufig, an Ihre Anmeldedaten heranzukommen, indem sie Sie auf eine gefälschte Webseite mit gewohntem Anmeldefenster weiterleiten. Enthält die Mail einen QR-Code, der zur Phishing-Seite führt, spricht man von Quishing.

Der große Unterschied zu den üblichen Mail-Betrügereien: Es hat sich bereits herumgesprochen, dass man nicht einfach so auf Links in Mails klicken sollte, die möglicherweise obendrein in schlechtem Deutsch verfasst sind. Bei QR-Codes ist das nicht der Fall. Ergo schenkt man QR-Codes mehr Vertrauen, scannt sie ein und landet dann womöglich auf einer Phishing-Seite oder Ärgerem.

Diese Masche tritt häufig in unterschiedlichen Varianten auf: Die Volksbank warnte im Dezember 2021 vor Mails und sogar Briefen mit QR-Codes, die Kunden dazu aufforderten, eine neue App herunterzuladen und sich dort zu registrieren. Ähnliche Angriffe mit QR-Codes häuften sich in letzter Zeit so sehr, dass die Polizei eine Warnung vor QR-Codes in Mails aussprach (sämtliche Warnungen haben wir Ihnen unter ct.de/yrf5 verlinkt).

Ob diese Warnungen wirklich etwas bringen, lässt sich diskutieren. Der c’t-Security-Experte Jürgen Schmidt geht in seinem Kommentar im Kasten rechts dieser Frage auf den Grund.

QR-Codes sind nicht das Problem

Ein Kommentar von Jürgen Schmidt (Leiter heise Security)

Die Krypto-Börse Coinbase platzierte in der Halbzeitpause des Superbowls einen Werbespot, der die Zuschauenden dazu verleiten sollte, einen über den Fernseher hüpfenden QR-Code mit der Handy-Kamera einzufangen. Auf der dann angezeigten Website erwartete sie nur eine Meldung, dass der Dienst nicht erreichbar ist – vermutlich wegen Überlastung. Aber das ist eine andere Geschichte.

Es folgte ein Aufschrei der um die Sicherheit besorgten Experten, dass man den Anwendern unsichere Verhaltensweisen antrainiere und somit Phishing-Betrügern in die Karten spiele. Schließlich könne sich hinter dem QR-Code doch auch eine bösartige Phishing-Webseite verbergen, die es auf ihre Zugangsdaten abgesehen hat. Ich halte diesen Ansatz für falsch.

Das World Wide Web beruht darauf, dass Anwender Links öffnen. Auch solche, bei denen sie vorher nicht wissen, was genau sich dahinter verbirgt, schließlich will man ja Dinge entdecken. Es ist deshalb unsere (uns hier im Sinne von all denen, die im weitesten Sinne das Web mitgestalten) Aufgabe, den Anwendern Werkzeuge bereitzustellen, mit denen sie das tun können. Sprich: Anwender sollten einen Link ohne unmittelbare Gefahr öffnen können. Wenn allein durch das Öffnen eines Links etwas Böses passiert, dann ist das ein Fehler im Browser, den dessen Hersteller zu verantworten und zu beseitigen hat.

Die Verantwortung des Anwenders beginnt, wenn er mit der Seite interagiert. Bevor er dort persönliche Daten oder sogar ein Passwort eingibt, sollte er sich die Frage stellen, ob und wie weit er der Seite vertrauen kann. Da spielt primär der Kontext eine wichtige Rolle. Das ist in der analogen Welt nicht anders: Dem Hotel-Angestellten beim Check-in gibt man seine Kreditkarte; einem Unbekannten am Bahnhof eher nicht.

In der digitalen Welt zeigt sich da schon das erste Problem: Browser zeigen immer öfter gar nicht mehr an, wo sich der Anwender gerade befindet und machen es damit schwer, die Vertrauenswürdigkeit einer Passwortabfrage zu beurteilen oder gar zu überprüfen. Immerhin können sich Anwender fragen: Wie bin ich hierher gelangt? Über ein gespeichertes Lesezeichen oder einen QR-Code in einem eher zweifelhaften Zusammenhang? Der Vertrauens-Check ist nicht trivial – aber etwas, was man Anwendern beibringen kann und sollte. „Klicke nicht auf Links“ oder „Verwende keine QR-Codes“ hingegen sind keine sinnvollen Lernziele. Darüber hinaus kann man Anwender zu Multifaktor-Authentifizierung und insbesondere FIDO2 ermuntern, weil sie konzeptionell vor Phishing schützen.

Eine Verteufelung von QR-Codes hingegen führt nur zu noch mehr angeblichen „Best Practices der Security“, die zwar gebetsmühlenartig wiederholt werden, an die sich niemand wirklich hält, weil sie praxisfern sind. Ich scanne den QR-Code im Restaurant, um mir die Speisekarte anzuschauen und ich würde mir wünschen, dass auch meine Bank Girocodes einführt [1], weil ich es satthabe, ständig gefühlt 100-stellige IBANs von Hand einzutippen. Ich werde also auch anderen Menschen, die sich von mir Sicherheitstipps erhoffen, nicht erzählen, dass sie keine QR-Codes benutzen dürfen, sondern lieber zur Zweifaktor-Authentifizierung raten.

Überklebt

Ein deutlich gefährlicherer und unscheinbarer Angriffsvektor geht von öffentlichen QR-Codes aus, die Sie in Broschüren, Werbeplakaten oder Speisekarten finden. Angreifer können die Codes überkleben und die Opfer somit auf gefälschte Webseiten locken. Die Idee hinter dem Angriff ist nicht neu, schon 2013 warnte das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor überklebten QR-Codes.

Das passiert nicht unbedingt bei Speisekarten; vorsichtig müssen Sie bei QR-Codes sein, die „alternative Bezahlmöglichkeiten“ anpreisen. Das FBI warnt in den USA zum Beispiel davor, keine QR-Codes bei Parkplätzen zu scannen, die zu einem Bezahldienst weiterleiten: Anstatt zum Parkautomat zu laufen, könne man so bequem die Rechnung für die Parkdauer bezahlen. Doof nur, wenn das Geld dann nicht an den Parkplatzbetreiber fließt, sondern direkt in die Taschen der Betrüger.

Überklebte QR-Codes verheißen auch bei Außenwerbung Unheil, die dazu einlädt, eine App herunterzuladen oder Webseiten zu besuchen. In solchen Fällen greifen die Angreifer erneut nach Ihren Daten und im schlimmsten Falle versuchen sie, über eine App einen Trojaner auf Ihr Smartphone herunterzuladen (zugegebenermaßen ist das leichter beim Google Play Store zu bewerkstelligen als über den App Store auf iOS).

Genauso kritisch sind leicht zugängliche QR-Codes in Zügen oder Einkaufszentren, die einen einfachen Zugang zum WLAN anbieten: Ein solcher QR-Code kann von Angreifern überklebt worden sein. Mit einem Klick verbinden Sie sich mit einem von Angreifern eingerichteten gleichnamigen Hotspot.

Gegenmaßnahmen

Hersteller von Smartphones haben schon früh reagiert: Kamera-Apps folgen nicht mehr direkt einer gescannten URL. Ein Großteil aller modernen Kamera-Apps zeigt den Link stattdessen auf dem Bildschirm an. Danach ist es an Ihnen, zu entscheiden, ob Sie darauf klicken oder nicht. Dabei ist der gesunde Menschenverstand gefragt: Sieht die URL merkwürdig aus, dann sollten Sie den QR-Code genauso wie eine Phishing-Mail in den Papierkorb befördern.

Wenn Sie zusätzlich auf Nummer sicher gehen wollen (oder Familienangehörigen einen Gefallen tun wollen), weichen Sie unter Android auf eine App wie zum Beispiel Trend Micro QR-Scanner aus (siehe ct.de/yrf5), die den Inhalt des QR-Codes prüft und Sie vor potenziell gefährlichen Links warnt. iOS-Nutzer nehmen die App Intercept X von Sophos (siehe ct.de/yrf5). Die sichere Scanfunktion für QR-Codes ist aber nur ein kleiner Teil der Antiviren-App: Mit der App laden Sie leider noch viele weitere Funktionen herunter, deren Sinn mindestens zweifelhaft ist.

Mit der App QR-Scanner von Trend Micro bekommen Sie eine Einschätzung, ob die URL hinter dem QR-Code potenziell gefährlich ist.
Mit der App QR-Scanner von Trend Micro bekommen Sie eine Einschätzung, ob die URL hinter dem QR-Code potenziell gefährlich ist.

Tipp für ganz harte Tüftler: Alternativ können Sie Ihr Smartphone beiseitelegen und den QR-Code per Hand dekodieren [2]. Das ist zwar mühsam, aber Sie fangen sich auf diese Art und Weise definitiv kein Virus ein.

Fazit

Wie bei vielen der vorgestellten Szenarien spielt der Kontext eine wichtige Rolle: Ein QR-Code mit WLAN-Daten bei Ihnen zu Hause genießt ein höheres Vertrauen als ein QR-Code auf einem Laternenmast, der für ein öffentliches WLAN wirbt. Im Zweifel sollten Sie die Entscheidung, eine fragwürdige URL anzuklicken, dem gesunden Menschenverstand überlassen oder bei noch größeren Zweifeln eine QR-Überprüfungs-App konsultieren. (wid@ct.de)

  1. Literatur
  2. Jan Mahn, Schöner zahlen, Rechnungen schneller überweisen mit QR-Codes, c’t 7/2022, S. 138
  3. Wilhelm Drehling, Bithaufen, QR-Codes verstehen und ohne technische Hilfsmittel per Hand dekodieren, c’t 17/2022, S. 142

Warnungen und Scanner-App: ct.de/yrf5



Suchmaschinen

Neue Wegweiser

Kagi, Neeva, You.com: Die neuen Google-Konkurrenten ausprobiert

Wer im Internet sucht, der googelt. Mehrere Suchmaschinen-Start-ups wollen das ändern. Ihre Suchdienste sind frei von Werbung und Trackern und bieten mehr Personalisierung, Datenschutz, Spezialsuchen sowie viele weitere nützliche Funktionen.

Von Jo Bager

Seit vielen Jahren dominiert Google den Suchmaschinenmarkt mit einem weltweiten Anteil von rund 90 Prozent. Der nächstkleinere Konkurrent Bing, immerhin betrieben von Microsoft, kommt je nach Marktforschungsunternehmen auf nur drei bis fünf Prozent. Die Dominanz Googles hat drei junge, allesamt US-amerikanische Unternehmen aber nicht abgeschreckt, neue Suchdienste an den Start zu bringen: Kagi, Neeva und You.com.

Neeva

Neeva wurde von zwei ehemaligen Google-Mitarbeitern aus der Taufe gehoben, die damit unzufrieden waren, wie Google seine Suchergebnisseiten mit Werbung überfrachtet. Neeva ist daher werbefrei und soll sich stattdessen über ein Freemium-Modell finanzieren. Ohne Third-Party-Cookies kommt die Desktopversion allerdings nicht aus. Neevas Bedienoberfläche ist auch auf deutsch verfügbar.

Die Betreiber bauen einen eigenen Suchmaschinenindex auf, nutzen derzeit aber auch Ergebnisse von Bing. Bei bestimmten Themen bietet Neeva von sich aus themenspezifische Filter an, um die Suche zu verfeinern. Wer zum Beispiel nach einem Programmierthema sucht, der kann die Ergebnisse auf „Official Docs“, „Forums“, „Programming Websites“, „Blogs“ und „Code Repos“ einschränken.

Man kann Neeva wie andere Suchmaschinen anonym nutzen. Viele der Besonderheiten erschließen sich allerdings nur Nutzern mit Account. Ein Basis-Account ist kostenlos, Premium-Accounts für 5 US-Dollar im Monat enthalten Zugänge für das BitDefender-VPN und den Passwortverwalter LastPass. Die Premiumvariante ist derzeit allerdings nur in den USA verfügbar.

Eingeloggten Nutzern stellt Neeva ein persönliches Dashboard zusammen, mit Informationspanels zum Beispiel zu Aktienkursen und dem lokalen Wetter sowie einem Newsfeed mit einer individualisierbaren Auswahl an Quellen. Hinter der Login-Schranke können Nutzer ihre Treffer-Links in sogenannten Bereichen speichern. Und sie können festlegen, von welchen Quellen sie mehr oder weniger Treffer erhalten möchten. Vor allem aber können sie ihre bei bestimmten Clouddiensten gespeicherten Daten durchsuchen lassen. Dazu verknüpfen sie ihre Google-, Microsoft- oder Dropbox-Konten mit Neeva – sehr praktisch.

Neeva bietet einen Browser mit integrierter Suchmaschine und Tracker-Blocker als App für Android und iOS an. Schon während der Benutzer dort einen Suchbegriff eintippt, macht ihm die App Vorschläge für Ziel-Sites. Die iOS-App bietet zudem eine weitere Funktion, NeevaScope, die weiterführende Informationen zur aktuell besuchten Site präsentiert, etwa ähnliche Sites. Der Betreiber hat auch Neeva-Erweiterungen mit Tracker-Blockern für Firefox, Safari und Chromium-Browser veröffentlicht. Unter Neeva.xyz betreibt er eine Suchmaschine für das Web3.

You.com zeigt die Treffer ausgewählter Quellen prominent an.
You.com zeigt die Treffer ausgewählter Quellen prominent an.

You.com

You.com sticht durch seine ungewöhnliche Oberfläche aus dem Suchmaschinen-Einerlei hervor. Statt oberhalb der Suchergebnisse ordnet der Dienst Reiter für Suchen nach spezifischen Medientypen und Themen links an. Bei den News- und Video-Suchergebnissen füllt You.com den gesamten zur Verfügung stehenden Platz mit Ergebniskacheln.

Die Haupt-Suchergebnisseite ist sehr aufgeräumt gestaltet. Je nach Abfrage streut You.com eine oder mehrere Listen mit Kacheln ein, die Inhalte aus bestimmten Quellen enthalten (Bühnen). Solche Quellen nennt You.com Apps. Eingeloggte Benutzer können für mehr als 150 solcher Websites festlegen, ob sie mehr oder weniger Inhalte zu sehen bekommen wollen.

Vorwiegend aus den App-Inhalten speisen sich einige Spezialsuchen von You.com, zum Beispiel „YouCode“ für die Recherche auf Entwicklerplattformen, „Social“ und „Shopping“. An „YouEat“ für die Suche nach US-amerikanischen Bringdiensten und an der englischsprachigen Oberfläche zeigt sich, dass sich You.com derzeit vor allem an ein US-amerikanisches Publikum wendet. Mit einem prominent auf der Startseite verlinkten Goodie, YouWrite, kann man eine KI kurze englischsprachige Texte verfassen lassen. Für deutsche Nutzer gibt es immerhin schon neun deutsche News-Quellen, von Bild.de über Tagesschau bis T-Online.de.

You.com ist auch ohne Account – und ohne individuelle Anpassungen – nutzbar. Ob mit oder ohne Account: Der Dienst ist derzeit kostenlos und werbefrei. Allerdings hat der Gründer Richard Socher in einem Interview die Möglichkeit erwähnt, You.com durch sogenannte Private Ads zu refinanzieren – Werbung, die dem Werbenden nichts über den Surfer verrät und auch kein Tracking zulässt.

Einen Teil der Suchergebnisse bezieht You.com von Bing. Für themenspezifische Abfragen verfügt die Suchmaschine über eigene Indizes. Der Betreiber stellt Apps für Android und iOS sowie Add-ons für Firefox und Chromium-Browser bereit.

Mehr hiervon, bitte: Bei Kagi gewichtet man Websites von Hand und beeinflusst so das Ranking.
Mehr hiervon, bitte: Bei Kagi gewichtet man Websites von Hand und beeinflusst so das Ranking.

Kagi

Um bei Kagi zu suchen, muss man einen Account einrichten, denn der Dienst finanziert sich mit einem Freemium-Preismodell. Kostenlos sind 50 Suchabfragen pro Monat; wer Kagi unbeschränkt nutzen will, zahlt monatlich 10 US-Dollar. Kagi ist komplett werbe- und trackerfrei.

Kagi bietet wie kein anderer Dienst die Möglichkeit, das aufgeräumte Erscheinungsbild anzupassen, vom Farbschema über die Schriftgröße bis zur Anzeige der Favicons der gefundenen Websites. Per Default sind Inline-Bilder, -News und -Videos, Sofortantworten, verwandte Suchen und viele weitere Elemente aktiviert, die man von anderen Suchmaschinen kennt. Man kann sie bei Kagi aber deaktivieren.

Kagi lässt den Nutzer zudem händisch in das Ranking eingreifen. Neben jedem Suchergebnis zeigt der Dienst dazu eine Kristallkugel an. Klickt der Nutzer darauf, kann er für die Zukunft Inhalte der betreffenden Domain blockieren, herab- oder heraufstufen.

Suchergebnisse lassen sich mit sogenannten Lenses filtern. Sie schränken die Resultate auf bestimmte Dateitypen, Regionen, Zeiträume und Sites ein oder schließen bestimmte Websites oder Keywords aus. Solche Lenses lassen sich auch selbst einrichten – benutzerdefinierte Suchmaschinen. Wer vom Kagi-Suchformular aus gezielt bei anderen Diensten suchen will, kann dafür Kurzbefehle nutzen, sogenannte Bangs (die ursprünglich von DuckDuckGo stammen).

Kagi unterhält einen eigenen Index für Webseiten und News. Die Suchmaschine bezieht Ergebnisse aber auch (anonymisiert) von Konkurrenten wie Google und Bing und vertikalen Quellen wie Wikipedia ein. Der Betreiber stellt Add-ons für Firefox, Safari und Chromium-Browser bereit.

Fazit

Wie wohltuend aufgeräumt eine Suchergebnisseite ohne Werbung ist! Und es ist auch sehr beruhigend, wenn der Suchdienst die Recherchen im Internet nicht trackt. Eine weitere wichtige Gemeinsamkeit der drei Anbieter ist die Anpassbarkeit der Suchergebnisse: Man ist nicht mehr auf Gedeih und Verderb einem Algorithmus ausgeliefert, sondern kann ein Stück weit das Ranking mitbestimmen.

Alle drei Dienste bereichern den Suchmaschinensektor noch um weitere gute Ideen. Es macht Spaß, sie auszuprobieren. Bleibt zu hoffen, dass die jungen Unternehmen tragfähige Geschäftsmodelle finden – vielleicht gibt es ja genug erfahrene Nutzer, die nicht mehr einfach nur die Ergebnisse hinnehmen wollen, die Google ihnen liefert. (jo@ct.de)

Links zu den Diensten: ct.de/y9nx



BSI-Warnung vor Kaspersky: Die Chronologie

BSI-Warnung vor Kaspersky: Die Chronologie

Interne Unterlagen beweisen, wie das BSI zusammen mit dem Bundesinnenministerium drei Wochen brauchte, um eine Warnung vor Kaspersky-Produkten auszusprechen.

Erst am 15. März, rund drei Wochen nach dem Einmarsch Russlands in die Ukraine, veröffentlicht das BSI eine offizielle Empfehlung, keine weiteren Kaspersky-Produkte mehr zu benutzen.
Erst am 15. März, rund drei Wochen nach dem Einmarsch Russlands in die Ukraine, veröffentlicht das BSI eine offizielle Empfehlung, keine weiteren Kaspersky-Produkte mehr zu benutzen.

Mitte März sprach das Bundesamt für Sicherheit in der Informationstechnik (BSI) aufgrund des Angriffskrieges auf die Ukraine eine Warnung vor sämtlichen Kaspersky-Produkten aus. Grund: Kaspersky ist ein russischer Antivirenhersteller mit Sitz in Moskau. Daher besteht die realistische Gefahr, dass die russische Regierung die tiefreichenden Rechte ausnutzt, die Antivirenprogramme in Betriebssystemen haben, um beispielsweise an Informationen heranzukommen. 370 Seiten an Dokumenten zeigen nun die Chronologie dieser Entscheidung.

Der Bayerische Rundfunk forderte die Unterlagen durch eine Anfrage nach dem Informationsfreiheitsgesetz an und wertete sie zusammen mit dem Magazin Der Spiegel aus (siehe ct.de/yu6a). Daraus geht hervor, dass das BSI kurz nach Beginn des Krieges recht schnell die brisante Lage Kaspersky erkannte und nach technischen Gründen suchte, um eine Warnung auszusprechen.

In den internen Mails diskutierten die BSI-Angestellten rege Argumente wie: „Es ist nicht sicher, dass Kaspersky noch die vollständige Kontrolle über seine Software und IT-Systeme hat bzw. diese nicht in Kürze verlieren wird.“ Und man müsse mit „feindlichen Übergriffen auf deutsche Institutionen, Unternehmen und IT-Infrastrukturen“ rechnen. Aber nicht alle waren dieser Meinung, ein Abteilungsleiter schrieb etwa, dass man nicht vorschnell handeln solle oder womöglich sogar rechtswidrig, denn immerhin habe Kaspersky schon vor längerer Zeit angefangen, Server in die Schweiz auszulagern.

Nach einer intensiven Debatte nickte der BSI-Chef Arne Schönbohm am 5. März intern eine mögliche Warnung ab. Es folgten mehrere Absprachen mit dem Bundesinnenministerium (BMI), dem das BSI unterstellt ist. Etwa zeitgleich wendete sich Kaspersky Hilfe suchend an das BSI und erhoffte sich Rückendeckung, was aber innerhalb der Behörde auf taube Ohren stieß.

Erst einen Tag vor dem Aussprechen der Warnung durch das BSI erfuhr Kaspersky per Mail von der Entscheidung, mit der Bitte zu Stellungnahme innerhalb von drei Stunden. Das Unternehmen fühlt sich nach eigener Aussage übergangen und diskreditiert, weswegen es rechtliche Schritte eingeleitet hat. In zwei Instanzen wurde dem BSI recht gegeben, eine abschließende Entscheidung fällt aber erst im langwierigen Hauptverfahren.

Nach dem Okay des BMI sollte die Warnung am 16. März veröffentlicht werden, doch die Presseabteilung grätschte dazwischen und wünschte sich die Erklärung einen Tag früher zu veröffentlichen: „Dann können wir damit in die nächste c’t und in Die Zeit hineinkommen und das BSI als Akteur positionieren.“ So ging die Warnung schließlich am 15. März raus.

Laut den Dokumenten sollte ursprünglich die Sicherheitsfirma G Data mit in der Erklärung auftauchen, da die ehemalige Frau des Kaspersky-Chefs Natalja Kaspersky 17 Prozent des Unternehmens hält. Diese stehen laut Spiegel aber offenbar zum Verkauf. Deswegen, und vermutlich, weil G Data in Bochum angesiedelt ist und vom BSI als besonders qualifizierter Dienstleister gehandelt wird, hat die Behörde den Namen wohl als „Gefallen“ aus der Warnung herausgehalten, schlussfolgert der Spiegel. (wid@ct.de)

BSI-Warnung und Recherche: ct.de/yu6a



Verdächtige Mailanhänge risikolos untersuchen und entschärfen

Erfolgreicher Exorzismus

Wie Sie verdächtige Mailanhänge risikolos untersuchen und entschärfen

Mailanhänge zu öffnen, ist ein riskantes Unterfangen – aber oft unumgänglich. Wir stellen Tools vor, mit denen Sie Anhänge in risikofreie Kopien verwandeln und eingehend untersuchen können, bevor Sie sie öffnen.

Von Sylvester Tremmel

Mailanhängen dürfen Sie nicht vertrauen. Doch egal wie vorsichtig Sie Ihren Posteingang auf Phishing-Attacken untersuchen und wie misstrauisch Sie E-Mails begegnen: Früher oder später taucht ein Anhang auf, dessen Absichten unklar sind und den Sie nicht ignorieren können, weil der Inhalt verspricht, wichtig zu sein.

Also müssen Sie irgendwie das Risiko verringern, das von dem Anhang ausgeht, bevor Sie ihn öffnen. Dazu haben Sie eine Reihe von Handlungsoptionen; die einfachste vorweg: Sehen sie nach, ob ein Online-Virenscanner wie virustotal.com den Anhang kennt. Allerdings nicht, indem Sie dort einfach die Datei hochladen, sonst haben Sie allzu leicht ein Datenschutzproblem am Hals (siehe dazu den Artikel auf S. 18). Berechnen Sie stattdessen lokal einen eindeutigen Hash der Datei und geben Sie diesen in die Suche von VirusTotal ein. Aus dem Hash lassen sich keine Daten rekonstruieren, aber falls es sich um eine bereits bekannte Datei handelt, bekommen Sie so eine Einschätzung des Dienstes. Viren-Dokumente werden in der Regel breit gestreut, mit etwas Glück liegt daher zu einer verseuchten Datei bereits ein Report vor.

Auf VirusTotal muss man nicht unbedingt eigene Dateien hochladen. Man kann auch per Hash nach bereits bekannten Dateien suchen.
Auf VirusTotal muss man nicht unbedingt eigene Dateien hochladen. Man kann auch per Hash nach bereits bekannten Dateien suchen.

Einen passenden Hash berechnen Sie am schnellsten auf der Kommandozeile, unter Windows mit dem PowerShell-Befehl Get-FileHash DATEI, unter Linux per sha256sum DATEI und unter macOS mit shasum -a 256 DATEI. Es gibt aber auch diverse Tools mit grafischer Oberfläche, die Hashes berechnen können; VirusTotal findet Hashwerte der Verfahren MD5, SHA-1 und SHA-256. (Nutzen Sie am besten das letzte, es gilt als uneingeschränkt sicher.)

Wenn gleich mehrere namhafte Scanner bei VirusTotal anschlagen, sollten Sie den Anhang direkt in den Orkus schicken. Falls der Onlinedienst die Datei nicht kennt oder darin nichts findet, dann ist das nur ein erster Hinweis, aber noch keine Unbedenklichkeitserklärung, und Sie sollten weiterforschen.

Ab in die Quarantäne

Zum Beispiel, indem Sie eine von Ihrem Arbeitsrechner isolierte Umgebung nutzen, aus der Malware nicht ausbrechen kann. Dafür eignet sich unter anderem eine virtuelle Maschine (VM). Wenn man darin ein bösartiges Dokument öffnet, geht höchstens diese VM zugrunde. Zwar gibt es auch in VM-Software Lücken, aber das Risiko, dass eine Malware aus der Virtualisierung herauskommt, ist sehr, sehr gering.

VMs sind gut, um gelegentlich eine Datei zu analysieren. Dann bootet man darin am besten ein frisches Spezialsystem wie Kali Linux oder Parrot Security [1, 2] und löscht nach der Analyse die ganze VM. Sie können virtuelle Maschinen auch zur Absicherung der täglichen Arbeit nutzen, zum Beispiel, indem Sie darin ein wartungsarmes Linux wie Debian [3] installieren und damit Ihre Mails abrufen. Das ist eine gute Methode, aber wenn man täglich so arbeitet, stößt man schnell an die Grenzen, die durch die Isolierung entstehen. Wer dann keine eiserne Disziplin zeigt, bohrt über kurz oder lang Löcher in die Isolation, um leichter Dateien in die VM hinein und aus ihr heraus zu bekommen. Schlimmstenfalls wird aus der Isolations-VM allmählich die normale Arbeitsumgebung und der Schutzeffekt ist perdu.

Praktikabler sind Tools, die automatische Isolationsumgebungen nutzen, um Dateien zu entschärfen, wie das Werkzeug Dangerzone (https://dangerzone.rocks). Es steht für Windows, macOS und Linux zur Verfügung und nutzt Container zur Isolation. Unter Windows und macOS kommt dafür Docker Desktop zum Einsatz unter Linux podman. Container bieten eine weniger gute Isolation als echte virtuelle Maschinen, stellen für Malware aber dennoch eine massive Hürde dar.

Die isolierten Container nutzt Dangerzone, um einen Anhang zu öffnen und in Bilddaten zu konvertieren. Malware können diese Pixelbilder nicht enthalten und nur diese Daten lässt Dangerzone aus dem Container. In einem zweiten Schritt wird aus den Pixeldaten ein PDF erzeugt, damit man keine lose Bildsammlung als Ergebnis erhält. Das Resultat ist ein PDF mit optisch gleichem Inhalt wie das Eingangsdokument, aber garantiert ohne Malware, Makros, versteckte Inhalte, verheimlichte Linkziele und viele andere Arten von Bedrohung. Als Betriebssystem im Container nutzt Dangerzone Linux (auch unter Windows und macOS). Da die meisten Schädlinge auf Windows abzielen, ist es unwahrscheinlich, dass etwaiger Schadcode überhaupt ausgeführt wird, selbst wenn die Programme im Container Sicherheitslücken aufweisen sollten. Und auch wenn Malware die Software im Container kompromittiert und mit Linux zurande kommt, dann müsste sie immer noch aus dem Container ausbrechen, um Schaden anzurichten.

Bei so vielen Hürden kann man es verschmerzen, dass sich die Software im Container leider nicht leicht aktualisieren lässt: Der Installer von Dangerzone bringt ein fertiges Containerimage mit, damit die Software auch auf Rechnern ohne Internetzugang funktioniert. Wer sich nicht zutraut, das Containerimage selbst neu zu bauen – und eventuelle Inkompatibilitäten zu beheben –, bekommt erst mit einer neuen Dangerzone-Version ein neues Image. Das ist ein akzeptabler Kompromiss, aber wem er nicht reicht: Nichts spricht dagegen, noch eine Barriere hinzuzufügen und Dangerzone innerhalb einer VM zu betreiben.

Die Installation von Dangerzone erfordert unter Windows und macOS diverse Schritte, aber die sind relativ simpel: Zuerst laden Sie den Installer herunter und führen ihn aus. Danach können Sie Dangerzone bereits starten, erhalten aber den Hinweis, dass die Applikation Docker Desktop erfordert, sofern es nicht bereits installiert ist. Also folgen Sie dem angezeigten Link, laden Docker Desktop herunter und führen auch diesen Installer aus, was unter macOS mit ein paar Sicherheitsabfragen einhergeht, die Sie bestätigen müssen. Danach starten Sie Docker und sind unter macOS nach ein paar Sekunden Startzeit einsatzbereit.

Die Installation von Dangerzone erfordert zwar eine Reihe von Schritten, ist aber nicht kompliziert.
Die Installation von Dangerzone erfordert zwar eine Reihe von Schritten, ist aber nicht kompliziert.

Unter Windows beschwert sich Docker Desktop eventuell, falls das „Windows Subsystem for Linux 2“ (WSL 2) nicht bereitsteht. Aber auch in diesem Fall zeigt die Problemmeldung direkt den nötigen Link an. Sie müssen also nur eine weitere Runde aus Klick, Download und Installation drehen und nun ist Docker auch unter Windows zufrieden und zur Arbeit bereit. Nach einem Klick auf „Check again“ merkt das auch Dangerzone und macht sich daran, das Container-Image zu installieren. Das geht vollautomatisch vonstatten.

Die Installation unter Linux ist leichter oder schwerer, je nachdem, um welche Distribution es geht. Für einige Distributionen betreiben die Dangerzone-Entwickler eigene Repositories, was die Installation sehr einfach macht. Unter Debian genügen beispielsweise folgende Befehle:

curl -s https://packagecloud.io/install/repositories/firstlookmedia/code/script.deb.sh | sudo bash
sudo apt update
sudo apt install -y dangerzone

Ein Skript per curl herunterzuladen und direkt auszuführen, gilt allerdings zu Recht als höchst fragwürdige Installationsmethode. Wer dem Braten nicht traut, kann die Repositories manuell einrichten, die Dokumentation von Dangerzone erklärt, wie das geht (siehe ct.de/yw2x).

Leider unterstützt Dangerzone im Moment nur bei Debian aktuelle Versionen (11 und 12), bei Ubuntu und Fedora funktionieren von Haus aus nur etwas ältere Ausgaben (20.10, 21.04 und 21.10 beziehungsweise 33, 34 und 35). Auch bei anderen Distributionen sollten Sie sich nicht zu früh freuen: Beispielsweise findet sich Dangerzone zwar im User Repository von Arch Linux, allerdings ist das Paket aktuell nicht funktionstüchtig.

Statt sich unter Linux mit dem Paketbau oder Versionsinkompatibilitäten herumzuschlagen, bietet es sich an, einfach eine Debian-VM aufzusetzen und Dangerzone darin zu betreiben.

In der Gefahrenzone

Einmal fertig installiert, fällt die Bedienung von Dangerzone sehr leicht: Das Programm präsentiert nach dem Start nur eine Schaltfläche, die Sie drücken, um eine Datei zu konvertieren. Dangerzone kann diverse Office-Formate unschädlich machen, die ein Haupteinfallstor für Malware sind. Dazu startet das Programm im Container LibreOffice, um aus dem Office-Dokument ein PDF zu machen. Aus dem PDF werden dann Pixelgrafiken und daraus wieder ein – garantiert harmloses – PDF. Daneben können Sie mit Dangerzone auch PDFs und sogar Bilddateien entschärfen. Von letzteren geht nur eine geringe Gefahr aus, aber sicher ist sicher.

Nachdem Sie ein Dokument ausgewählt haben, bietet das Programm noch ein paar Einstellungen an. Dangerzone hat eine Texterkennung integriert (Optical Character Recognition, OCR) und fragt dafür nach der Sprache, in der das Dokument vermutlich verfasst ist. So kann das Tool im zweiten Schritt die Bilddaten analysieren, um den Textinhalt eines Dokumentes zu rekonstruieren. OCR erhöht den Komfort erheblich, weil Sie dadurch im sicheren PDF Texte wieder markieren und kopieren können. Ein Klick auf „Convert to Safe Document“ stößt die Umwandlung an. Unter Linux und macOS erlaubt Dangerzone darüber hinaus, das Ergebnis-PDF automatisch zu öffnen, was Ihnen noch ein paar Klicks erspart.

Ein Klick und Dangerzone erzeugt eine garantiert harmlose Dateikopie mit dem gleichen (sichtbaren) Inhalt. So wird beispielsweise aus einem verseuchten Word-Dokument eine entschärfte PDF-Version.
Ein Klick und Dangerzone erzeugt eine garantiert harmlose Dateikopie mit dem gleichen (sichtbaren) Inhalt. So wird beispielsweise aus einem verseuchten Word-Dokument eine entschärfte PDF-Version.

Diese Bequemlichkeit können Sie unter Windows leicht nachrüsten, indem Sie die Kommandozeilenvariante von Dangerzone einspannen. Die wurde automatisch mitinstalliert, Sie können sie in der Eingabeaufforderung mit dem Befehl dangerzone-cli (für „command-line interface“) starten. Der Aufruf dangerzone-cli DATEI erstellt aus DATEI ein sicheres PDF, mit den Parametern --ocr-lang deu und --output-filename NEU.PDF schalten Sie die Texterkennung für Deutsch ein und legen den Namen der Ergebnisdatei fest.

Damit kann man leicht ein Skript basteln, das Dateien konvertiert und öffnet. Unter ct.de/yw2x haben wir Ihnen drei Varianten bereitgestellt: Eine Batch-Datei, ein AutoHotkey-Skript und eine daraus erstellte EXE-Datei. Es ist eine gute Idee, eines der Skripte als Standardanwendung für Office-Dateien festzulegen. In Zukunft genügt dann ein Doppelklick auf die Datei, um Dangerzone zu starten, eine sichere Version zu generieren und diese zu öffnen. So vermeiden Sie auch, gefährliche Dateien versehentlich direkt zu öffnen. Bei Bedarf können Sie die Originaldokumente über das Kontextmenü weiterhin mit der üblichen Anwendung öffnen – wenn Sie sicher wissen, dass sie harmlos sind.

Qubes OS

Wenn man willens ist, aus Sicherheitsgründen das Betriebssystem zu wechseln, stehen noch bessere Lösungen als Dangerzone zur Verfügung. Nahe am Nonplusultra liegt Qubes OS, das VMs nutzt, um das gesamte System in Sicherheitszonen zu unterteilen. Im Detail haben wir Qubes OS in Ausgabe 11/2022 vorgestellt [4].

Unter Qubes OS können Sie beliebige Dateien weitgehend gefahrlos öffnen, indem Sie im Kontextmenü „View in disposable“ oder „Edit in disposable“ auswählen. Das System startet dann automatisch eine aktuelle VM und öffnet darin den Anhang mit der Standardanwendung. Wenn Sie die schließen, verwirft Qubes OS die komplette VM. Einzig die Änderungen an der Datei werden zurückgeschrieben, sonst nichts, und auch die Änderungen nur, wenn Sie die „Edit“-Option gewählt haben.

Schon das liefert mehr Sicherheit und Komfort, als man mit normalen VM-Lösungen erreicht. Zusätzlich gibt es die Tools qvm-convert-pdf und qvm-convert-img. Diese Werkzeuge waren die Vorlage für Dangerzone und funktionieren im Prinzip genauso. Allerdings nutzen die Qubes-OS-Befehle echte VMs und keine Container. Das bietet noch mehr Schutz und ist leicht implementiert, wenn das Betriebssystem ohnehin alles in VMs verpackt.

Mit spitzen Fingern

Trotz solcher Helferlein ist Dangerzone mit Einschränkungen verbunden. Zum einen stellt das LibreOffice im Container Office-Formate nicht unbedingt so dar, wie Microsoft Office unter Windows sie anzeigt; zum Beispiel, weil im Container Schriftarten fehlen. Sie müssen also damit leben, dass die Ausgabedokumente von Dangerzone eventuell ein bisschen anders aussehen, als die Eingabedateien.

Zum anderen holpert die Texterkennung von Dangerzone gelegentlich, besonders wenn die Schrift im Dokument schlecht lesbar ist, etwa weil es sich um eine schnörkelige Schreibschrift handelt. Längere kopierte Passagen sollten Sie daher Korrektur lesen.

Das Hauptproblem von Dangerzone folgt aber aus seiner Funktionsweise: Als Ergebnis erhalten Sie immer ein PDF. Das reicht, wenn Sie das Dokument nur betrachten wollen, aber wenn Sie ein Word-Dokument bearbeiten, eine Excel-Tabelle für Berechnungen nutzen oder ein PDF-Formular ausfüllen wollen, dann kommen Sie so nicht weiter.

Immerhin können – und sollten – Sie in solchen Fällen das Dokument erst einmal mit Dangerzone konvertieren und öffnen, um den Inhalt auf Plausibilität zu prüfen. Ein angeblicher Geschäftsbericht gehört direkt in die Tonne, wenn der sichtbare Inhalt laut Dangerzone nur aus einem aufwendigen Banner besteht, das Sie auffordert, Makros zu aktivieren.

Aber was, wenn der Dateiinhalt plausibel aussieht? In diesem Fall kommen Sie nicht darum herum, das Dokument zu öffnen – allerdings nicht mit der Standardanwendung! Als absolutes Minimum können Sie beispielsweise den PDF-Reader im Browser statt des Adobe Reader einspannen oder LibreOffice statt Microsoft Office. Das verringert zumindest die Chance, dass eventuell im Dokument eingebetteter Schadcode korrekt ausgeführt wird (siehe S. 21).

Deutlich sicherer ist es aber, verdächtige Dateien mit Werkzeugen zu öffnen, die den Inhalt analysieren und nicht direkt anzeigen. Was für Werkzeuge sich dafür eignen, hängt vom Typ der fraglichen Datei ab. Wir beschränken uns im Folgenden auf die beiden verbreitetsten Arten von Anhängen: Office- und PDF-Dateien. Bilder werden zwar ebenfalls sehr häufig verschickt, aber von üblichen Formaten wie JPG oder PNG geht nur eine geringe Gefahr aus. Wer solche Dateien weiterverarbeiten will, kann sie – nach einer Inspektion per Dangerzone – in der Bildbearbeitung seiner Wahl öffnen. Das verbleibende Restrisiko ist sehr gering.

Zur Analyse von PDFs und Office-Dateien stellen wir Ihnen zwei Werkzeugsammlungen vor, die beide auf der Kommandozeile laufen. Lassen Sie sich davon nicht abschrecken, eine erste Analyse ist wirklich nicht schwer.

PDF-Tools

Der Sicherheitsforscher Didier Stevens hat eine Reihe von Werkzeugen geschrieben, um PDF-Dateien zu analysieren und bietet sie auf seiner Webseite als Zip-Archive zum Download an (siehe ct.de/yw2x). Um eine Datei grob einzuschätzen, eignet sich das Tool pdfid. Laden Sie das zugehörige Archiv von Didiers Website und entpacken Sie den Inhalt in ein beliebiges Verzeichnis. Das Tool ist in Python geschrieben; wie Sie die dafür nötige Laufzeitumgebung installieren, haben wir in c’t 5/2022 ausführlich erklärt [5].

Wenn Sie zum Beispiel die PDF-Datei verdaechtig.pdf mit

python pdfid.py verdaechtig.pdf

öffnen, gibt das Programm eine Liste von Schlüsselwörtern zurück, die es im PDF gefunden hat:

PDFiD 0.2.8 verdaechtig.pdf
 PDF Header: %PDF-1.1
 obj                    9
 endobj                 9
 stream                 2
 endstream              2
 xref                   1
 trailer                1
 startxref              1
 /Page                  1
 /Encrypt               0
 /ObjStm                0
 /JS                    1
 /JavaScript            1
 /AA                    0
 /OpenAction            1
 /AcroForm              0
 /JBIG2Decode           0
 /RichMedia             0
 /Launch                0
 /EmbeddedFile          1
 /XFA                   0
 /URI                   0
 /Colors > 2^24         0

Im Grunde sucht pdfid lediglich in der Datei nach diesen Schlüsselwörtern, die als ASCII-Zeichen vorliegen müssen. Wie so oft ist es in Praxis komplizierter: PDFs erlauben die Zeichenketten unterschiedlich zu kodieren, womit pdfid aber zurande kommt.

Achten sollten Sie besonders auf die Schlüsselwörter /JS und /JavaScript, die einen Wert größer 0 anzeigen, wenn das PDF vermutlich JavaScript-Code enthält. JavaScript kommt auch in einigen gutartigen PDFs vor, wo es beispielsweise Formulareingaben validiert. Nichtsdestotrotz sollten Sie JavaScript-Code als deutliches Warnsignal betrachten.

Ebenfalls Warnsignale stellen die Schlüsselwörter /AA, /OpenAction und /AcroForm dar. Werte größer 0 bedeuten dort, dass der PDF-Reader automatische Aktionen starten soll, wenn man ein Dokument öffnet. Auch das kann harmlos sein und den Reader beispielsweise anweisen, eine bestimmte Seite des Dokuments anzusteuern – oder es führt Skriptcode aus und platziert Malware auf dem Rechner.

Wenn Sie auch nur eines dieser Schlüsselwörter entdecken, löschen Sie das verdächtige PDF, um auf Nummer sicher zu gehen. Wenn es dafür zu wichtig und dringend ist, dann hilft der Parameter --disarm (oder -d) von pdfid:

python pdfid.py -d verdaechtig.pdf

Das Programm produziert damit eine Kopie der Datei mit der Endung „.disarmed.pdf“. In der Kopie ist die Groß- und Kleinschreibung kritischer Schlüsselwörter vertauscht, aus /JavaScript wird /jAVAsCRIPT, aus /OpenAction wird /oPENaCTION und so weiter. So geschrieben handelt es nicht um gültige Schlüsselwörter und PDF-Reader sollten sie ignorieren. Diese entwaffnete Variante der Datei können Sie risikoarm öffnen.

Wem auch das nicht reicht, der kommt um eine detaillierte Analyse der internen Struktur des Dokuments nicht herum. Nur so findet man gefahrlos heraus, welche Aktionen genau ausgeführt würden und was genau der JavaScript-Code täte. Das erfordert allerdings Programmierkenntnisse, Wissen über den internen Aufbau von PDFs und mehr Platz, als dieser Artikel bietet. Wir werden in einer der folgenden Ausgaben zeigen, wie man bei so einer Analyse vorgeht.

Office-Dateien

Auch um Office-Dateien zu untersuchen, gibt es Kniffe und Werkzeuge in der Art von pdfid, aber nicht immer benötigen Sie dergleichen: Microsofts neuere Formate, die auf X enden (DOCX, XSLX, PPTX), sind im Grunde Zip-Archive, die lediglich einen speziellen Inhalt haben. Das hilft, falls Sie beispielsweise nur an den Bildern in einem Word-Dokument interessiert sind. Dann ändern Sie einfach die Endung von .docx in .zip, öffnen das Archiv mit dem Zip-Programm Ihrer Wahl und inspizieren die Bilder im entpackten Verzeichnis /word/media/.

Wenn Sie die Office-Dateien aber auf Unbedenklichkeit prüfen und letztlich in Word oder Excel bearbeiten wollen oder wenn es um ältere Formate geht (DOC, XLS …), dann funktioniert dieser Trick nicht. Was funktioniert, sind die oletools des Programmierers Philippe Lagadec (siehe ct.de/yw2x). Auch dieser Werkzeugkasten nutzt Python, am einfachsten installieren Sie ihn über die Paketverwaltung pip [5]:

pip install -U oletools[full]

Die oletools lesen sowohl die alten Office-Binärformate (wie DOC) als auch die aktuelleren auf XML-Basis (etwa DOCX). Für eine Einschätzung einer verdächtigen Datei ist das Programm oleid gedacht. Wie pdfid gibt es einen Überblick über relevante Aspekte einer Office-Datei. Statt einer bloßen Liste liefert oleid allerdings eine Tabelle samt Risikoeinschätzung der Elemente und schreibt im Fall der Fälle auch noch Handlungsanweisungen dazu (siehe Bild auf S. 31) Einer Word-Datei ohne Makros, externe Objekte oder andere Spezialitäten attestiert das Programm beispielsweise ein geringes Risiko: In der Spalte Risk sind alle Werte „info“ oder „none“.

Im Testdokument des heise Mailchecks (siehe S. 21) erkennt oleid korrekterweise ein VBA-Makro und bewertet es mit dem Risiko „Medium“. In der letzten Spalte steht, warum und was Sie jetzt tun können: „No suspicious keyword was found. Use olevba and mraptor for more info.“ Es wurden also keine Alarmsignale im Makro selbst gefunden, für Details soll man die Werkzeuge olevba oder mraptor nutzen.

„VBA Macros: Yes, suspicious; Risk: HIGH“ meldet oleid und hat recht. Diese Datei ist tatsächlich höchst suspekt.
„VBA Macros: Yes, suspicious; Risk: HIGH“ meldet oleid und hat recht. Diese Datei ist tatsächlich höchst suspekt.

Ein Dokument mit einem höchst suspekten Makro, das versucht, eine Datei auf die Festplatte zu schreiben, bewertet oldid in Rot als „suspicious“ (verdächtig) und warnt in Großbuchstaben vor dem hohen Risiko, weil es verdächtige Schlüsselwörter im Makro gefunden hat.

Der wieder empfohlene Aufruf von mraptor erklärt den Verdacht näher: Das Makro wird automatisch ausgeführt („AutoExec“), schreibt Daten („Write“) und versucht etwas außerhalb des Makro-Codes aufzurufen („Execute“). Folgerichtig kommt mraptor zu dem Schluss, dass die Datei verdächtig ist.

Wer es noch genauer wissen will, greift zum Werkzeug olevba. Es zeigt den enthaltenen Makrocode an, was aufschlussreich ist, wenn man Programmierkenntnisse hat. Zudem liefert olevba eine noch detailliertere Tabelle mit gefundenen problematischen Schlüsselwörtern und was sie bedeuten (siehe Listing auf S. 32).

mraptor kann man auch mehrere Dateien auf einmal vorwerfen. Er liefert dann eine Tabelle, ob Makros gefunden und als verdächtig bewertet wurden.
mraptor kann man auch mehrere Dateien auf einmal vorwerfen. Er liefert dann eine Tabelle, ob Makros gefunden und als verdächtig bewertet wurden.

Listing: Output von olevba

+----------+--------------------+---------------------------------------------+
|Type      |Keyword             |Description                                  |
+----------+--------------------+---------------------------------------------+
|AutoExec  |AutoOpen            |Runs when the Word document is opened        |
|Suspicious|Environ             |May read system environment variables        |
|Suspicious|Open                |May open a file                              |
|Suspicious|Write               |May write to a file (if combined with Open)  |
|Suspicious|Put                 |May write to a file (if combined with Open)  |
|Suspicious|Binary              |May read or write a binary file (if combined |
|          |                    |with Open)                                   |
|Suspicious|CreateObject        |May create an OLE object                     |
+----------+--------------------+---------------------------------------------+

Das Helferlein olevba extrahiert nicht nur Makrocode aus Office-Dateien (hier nicht gezeigt), sondern meldet auch, welche interessanten Begriffe sich im Code finden und worauf sie hindeuten.

Fazit

Auch ohne weitere Analyse müssen Sie keine Angst vor bösartigen Anhängen haben, wenn Sie die in diesem Artikel vorgestellten Werkzeuge einsetzen. Das Risiko, dass etwas den Filter von Dangerzone passiert, ist extrem gering. Übrigens sammeln sich unter Windows und macOS mit der Zeit immer mehr „Containers“ (mit Status „Exited“) und „Volumes“ in Docker Desktop an, zwei für jeden Aufruf von Dangerzone. Sie können die Einträge einfach ignorieren – oder aufräumen, wenn Sie die Unordnung stört. Löschen Sie einfach alle Exited-Container, die zugehörigen Volumes entsorgt Docker Desktop gleich mit. Dangerzone benötigt lediglich den Eintrag unter „Images“ und falls sie diesen versehentlich löschen sollten, legt das Programm ihn automatisch neu an.

Wenn Sie ein Dokument doch im Original öffnen müssen, dann reichen pdfid, oleid und Konsorten, um Gefahren zu wittern, bevor es zu spät ist. Das genügt für den Eigenschutz, aber wenn Sie die Neugierde packen sollte, dann sehen Sie sich weiter in den Werkzeugkisten von Stevens und Lagadec um. Die enthalten noch viele weitere Programme, mit denen man den Inhalten von Office- und PDF-Dateien auf den Grund gehen kann. Ein Beispiel dafür werden wir in einer der kommenden Ausgaben beschreiben. (syt@ct.de)

  1. Literatur
  2. Ronald Eikenberg, Hacking-Stick, Kali Linux auf USB-Stick einrichten, c’t 23/2021, S. 30
  3. David Wolski, Buntes Hacker-Linux, Linux-Distribution: Parrot Security für Pentester und Hacker, c’t 14/2020, S. 98
  4. Sylvester Tremmel, Neue Stammkneipe, Wie Sie die passende Distribution für sich finden, c’t 3/2022, S. 30
  5. Knut von Walter, Von Snowden empfohlen, Das sicherheitsorientierte Betriebssystem Qubes OS im Test, c’t 11/2022, S. 94
  6. Ronald Eikenberg, Jan Mahn, Draufgebeamt, Python schnell und einfach einrichten, c’t 5/2022, S. 20

Downloads: ct.de/yw2x

Installing Dangerzone · freedomofpress/dangerzone Wiki

Take potentially dangerous PDFs, office documents, or images and convert them to safe PDFs – Installing Dangerzone · freedomofpress/dangerzone Wiki

PDF Tools

Here is a set of free YouTube videos showing how to use my tools: Malicious PDF Analysis Workshop. pdf-parser.py This tool will parse a PDF document to identify the fundamental elements used in the…

GitHub – decalage2/oletools: oletools – python tools to analyze MS OLE2 files (Structured Storage, Compound File Binary Format) and MS Office documents, for malware analysis, forensics and debugging.

oletools – python tools to analyze MS OLE2 files (Structured Storage, Compound File Binary Format) and MS Office documents, for malware analysis, forensics and debugging. – GitHub – decalage2/oleto…


E-Mails richtig versenden

Verschickt und für gut befunden

Mails so verschicken, dass man Ihnen vertraut

Damit Ihre Mails nicht ungeöffnet als Spam oder Phishing aussortiert werden, sollten Sie es dem Empfänger so leicht wie möglich machen. Wenn Sie folgende Tipps beherzigen, verschicken Sie Mails, die einen guten Eindruck hinterlassen und auch tatsächlich gelesen werden.

Von Ronald Eikenberg

Absender, Betreff und Anrede

Der erste Eindruck zählt. Stellen Sie sicher, dass Sie einen aussagekräftigen Absendernamen in Ihrem Mailkonto eingestellt haben, etwa Vorname Nachname (Firma). Geben Sie Ihrer Mail einen sinnvollen, möglichst konkreten Betreff: anstatt „Anfrage“ beispielsweise „Kundenanfrage Ersatzteil XY für Modell Z“. 

Beginnen Sie die Mail nach Möglichkeit mit einer individuellen Ansprache mit Person oder Firma, die Sie erreichen möchten. Stellen Sie eine Signatur mit Ihrem Namen, der Firma und Rufnummer für Rückfragen ein. So können die Adressaten Ihre Mails zumindest von plumperen Fälschungen leicht unterscheiden.

Auf Empfänger achten

Überprüfen Sie vor dem Abschicken die Empfängerfelder „An“, „CC“ und „BCC“. Durch die automatische Vervollständigung Ihres Mailclients schleicht sich hier schon mal ein falscher Empfänger ein. Beim Beantworten von Mails sollten Sie in den Feldern gründlich ausmisten. Das gilt insbesondere für Antworten auf Mails, die an einen großen Empfängerkreis gerichtet waren. Denn die Antwort auf die Rundmail des Chefs muss in vielen Fällen nicht erneut die große Runde machen.

Wenn Sie mehrere Empfänger anmailen, die nichts miteinander zu tun haben, sollten Sie die Empfängeradresse unbedingt in das Feld BCC (Blindkopie) eintragen, damit die Empfänger nicht die gesamte Adressliste einsehen können. Wenn Sie „An“ oder „CC“ nutzen, geben Sie die Empfängerliste preis und handeln sich ein Datenschutzproblem ein.

Text statt HTML

HTML-Mails bergen unnötige Risiken: Der Empfänger sieht nicht auf den ersten Blick, auf welche Webadresse ein Link wirklich zeigt und von externen Servern eingebettete Inhalte sind entweder ein Datenschutzrisiko oder werden vom Empfängerclient nicht angezeigt. Verfassen Sie Ihre Mails daher besser im Textformat. Falls Sie auf eine URL verweisen möchten, sollten Sie Linkverkürzer wie TinyURL meiden, damit der Empfänger der Mail auf Anhieb weiß, wohin Sie ihn schicken möchten.

Vorsicht bei Anhängen

Von Mailanhängen geht eine große Gefahr aus. Phisher verschicken insbesondere Office-Dokumente und ausführbare Dateien, um neue Opfer in die Falle zu locken. Verschicken Sie Dokumente deshalb am besten im PDF-Format. Es hat sich als risikoarmes Austauschformat durchgesetzt. Microsoft Office und viele andere Anwendungen können Ihre Dokumente im PDF-Format speichern, zum Beispiel über die Druckfunktion. Falls es doch mal ein Office-Format sein muss, dann wählen Sie bevorzugt die Formate, die auf X enden: DOCX, PPTX, XLSX. Diese können keine Makros enthalten.

Vermeiden Sie insbesondere ausführbare Dateiformate wie EXE. Dabei handelt es sich häufig um Malware, weshalb Mails mit ausführbaren Anhängen oft aussortiert werden. Kündigen Sie unerwartete und ungewöhnliche Mailanhänge am besten über einen anderen Kommunikationskanal an. Vermeiden Sie große Anhänge, da diese oft nicht ankommen.

Mails signieren

Im besten Fall signieren Sie ausgehende Mails digital vor dem Versand mit OpenPGP oder S/MIME. So hat der Empfänger die Chance, zu verifizieren, dass die Mail tatsächlich von Ihnen stammt. Mailverschlüsselung sollten Sie nur nutzen, wenn Sie sicher sind, dass der Empfänger die Mail tatsächlich entschlüsseln kann. Die Verbindung zum Mailserver sollte in jedem Fall transportverschlüsselt sein (möglichst SSL/TLS), was bei den meisten Mailanbietern inzwischen jedoch Standard ist.

Andere Kanäle nutzen

E-Mails sind ein denkbar schlechtes Transportmedium für wichtige Informationen: Sie werden meist unsigniert übertragen, deshalb kann der Empfänger Ihre Mail nur mit Mühe zweifelsfrei von Phishing unterscheiden. Nutzen Sie daher auch andere Kommunikationskanäle, die Ihnen zur Verfügung stehen. Diese sind häufig besser geeignet.

In Unternehmen gibt es für interne Kommunikation oft Chat- oder Kollaborationssoftware wie Teams, Slack oder Rocket.Chat, im Zweifel können Sie auch zum Telefonhörer greifen. Messenger-Apps wie Signal oder WhatsApp sind ebenfalls besser als Mail, da die Nachrichten automatisch Ende-zu-Ende-verschlüsselt sind und der Empfänger den Absender überprüfen kann. Auch Dateien können Sie gut über diese Kanäle weitergeben.

Kurzlink zu diesem Artikel für Ihre Mail-Signatur: ct.de/sicher-mailen

(rei@ct.de)

26.08.2022 06:00 Uhr

c’t Magazin

Von

  • Ronald Eikenberg

Damit Ihre Mails nicht ungeöffnet als Spam oder Phishing aussortiert werden, sollten Sie es dem Empfänger so leicht wie möglich machen. Wenn Sie folgende Tipps beherzigen, verschicken Sie Mails, die einen guten Eindruck hinterlassen und auch tatsächlich gelesen werden.

Absender, Betreff und Anrede

Der erste Eindruck zählt. Stellen Sie sicher, dass Sie einen aussagekräftigen Absendernamen in Ihrem Mailkonto eingestellt haben, etwa Vorname Nachname (Firma). Geben Sie Ihrer Mail einen sinnvollen, möglichst konkreten Betreff: anstatt „Anfrage“ beispielsweise „Kundenanfrage Ersatzteil XY für Modell Z“. 

Beginnen Sie die Mail nach Möglichkeit mit einer individuellen Ansprache mit Person oder Firma, die Sie erreichen möchten. Stellen Sie eine Signatur mit Ihrem Namen, der Firma und Rufnummer für Rückfragen ein. So können die Adressaten Ihre Mails zumindest von plumperen Fälschungen leicht unterscheiden.

Mehr von c't Magazin

Auf Empfänger achten

Überprüfen Sie vor dem Abschicken die Empfängerfelder „An“, „CC“ und „BCC“. Durch die automatische Vervollständigung Ihres Mailclients schleicht sich hier schon mal ein falscher Empfänger ein. Beim Beantworten von Mails sollten Sie in den Feldern gründlich ausmisten. Das gilt insbesondere für Antworten auf Mails, die an einen großen Empfängerkreis gerichtet waren. Denn die Antwort auf die Rundmail des Chefs muss in vielen Fällen nicht erneut die große Runde machen.

Wenn Sie mehrere Empfänger anmailen, die nichts miteinander zu tun haben, sollten Sie die Empfängeradresse unbedingt in das Feld BCC (Blindkopie) eintragen, damit die Empfänger nicht die gesamte Adressliste einsehen können. Wenn Sie „An“ oder „CC“ nutzen, geben Sie die Empfängerliste preis und handeln sich ein Datenschutzproblem ein.

Text statt HTML

HTML-Mails bergen unnötige Risiken: Der Empfänger sieht nicht auf den ersten Blick, auf welche Webadresse ein Link wirklich zeigt und von externen Servern eingebettete Inhalte sind entweder ein Datenschutzrisiko oder werden vom Empfängerclient nicht angezeigt. Verfassen Sie Ihre Mails daher besser im Textformat. Falls Sie auf eine URL verweisen möchten, sollten Sie Linkverkürzer wie TinyURL meiden, damit der Empfänger der Mail auf Anhieb weiß, wohin Sie ihn schicken möchten.

Vorsicht bei Anhängen

Von Mailanhängen geht eine große Gefahr aus. Phisher verschicken insbesondere Office-Dokumente und ausführbare Dateien, um neue Opfer in die Falle zu locken. Verschicken Sie Dokumente deshalb am besten im PDF-Format. Es hat sich als risikoarmes Austauschformat durchgesetzt. Microsoft Office und viele andere Anwendungen können Ihre Dokumente im PDF-Format speichern, zum Beispiel über die Druckfunktion. Falls es doch mal ein Office-Format sein muss, dann wählen Sie bevorzugt die Formate, die auf X enden: DOCX, PPTX, XLSX. Diese können keine Makros enthalten.

Vermeiden Sie insbesondere ausführbare Dateiformate wie EXE. Dabei handelt es sich häufig um Malware, weshalb Mails mit ausführbaren Anhängen oft aussortiert werden. Kündigen Sie unerwartete und ungewöhnliche Mailanhänge am besten über einen anderen Kommunikationskanal an. Vermeiden Sie große Anhänge, da diese oft nicht ankommen.

Im besten Fall signieren Sie ausgehende Mails digital vor dem Versand mit OpenPGP oder S/MIME. So hat der Empfänger die Chance, zu verifizieren, dass die Mail tatsächlich von Ihnen stammt. Mailverschlüsselung sollten Sie nur nutzen, wenn Sie sicher sind, dass der Empfänger die Mail tatsächlich entschlüsseln kann. Die Verbindung zum Mailserver sollte in jedem Fall transportverschlüsselt sein (möglichst SSL/TLS), was bei den meisten Mailanbietern inzwischen jedoch Standard ist. Lesen Sie auch

Andere Kanäle nutzen

E-Mails sind ein denkbar schlechtes Transportmedium für wichtige Informationen: Sie werden meist unsigniert übertragen, deshalb kann der Empfänger Ihre Mail nur mit Mühe zweifelsfrei von Phishing unterscheiden. Nutzen Sie daher auch andere Kommunikationskanäle, die Ihnen zur Verfügung stehen. Diese sind häufig besser geeignet.

In Unternehmen gibt es für interne Kommunikation oft Chat- oder Kollaborationssoftware wie Teams, Slack oder Rocket.Chat, im Zweifel können Sie auch zum Telefonhörer greifen. Messenger-Apps wie Signal oder WhatsApp sind ebenfalls besser als Mail, da die Nachrichten automatisch Ende-zu-Ende-verschlüsselt sind und der Empfänger den Absender überprüfen kann. Auch Dateien können Sie gut über diese Kanäle weitergeben.

Geben Sie die Tipps weiter! Kurzlink zu diesem Artikel für Ihre Mail-Signatur: https://ct.de/sicher-mailen



Phishing-E-Mails erkennen und abwehren

E-Mails durchleuchtet

Phishing-Mails erkennen und abwehren

Der gefährlichste Ort im Internet ist Ihr Posteingang: Hinter jeder Mail kann ein Angriff stecken. Und die Zeiten, in denen man Phishing auf den ersten Blick erkennen konnte, sind längst vorbei. Mit den folgenden Tipps sortieren Sie auch die kniffligen Fälle gekonnt aus.

Von Ronald Eikenberg

Die von Phishing-Mails ausgehende Gefahr wird gern unterschätzt, schließlich erkennt man die Fälschungen doch scheinbar schon aus zehn Meter Entfernung durch merkwürdige Absender wie „✩P.A.Y.P.A.L✩“, Betreffzeilen wie „Ihr Konto wurde begrenzt“ oder völlig schiefe Grammatik. Doch die Zeiten ändern sich: Solche tölpelhaften Mails gibt es zwar nach wie vor, sie bleiben jedoch meist im Spamfilter hängen und die wahre Gefahr lauert woanders.

Was es in den Posteingang schafft, ist von höherer Qualität. Perfekte 1:1-Kopien von echten PayPal- oder Rechnungsmails sind dabei noch das geringere Übel. Richtig gefährlich wird es, wenn die Absender mit echten Daten arbeiten, die sie zum Beispiel aus Datenleaks ziehen oder bei Personen aus Ihrem Umfeld erbeuten. Letzteres ist besonders gefährlich, denn es ist durchaus möglich, dass Sie heute eine Phishing-Mail von einer Person erhalten, mit der Sie gestern tatsächlich kommuniziert haben.

Dieses sogenannte Dynamit-Phishing nahm durch Emotet Fahrt auf und ist weltweit etlichen Firmen, Behörden, Bildungseinrichtungen und vielen mehr zum Verhängnis geworden. Die Schäden gehen in die Milliarden. Die Einstellung „Bei mir gibt es eh nichts zu holen“ ist übrigens fatal, denn Online-Schurken haben es nicht nur auf DAX-Konzerne abgesehen, sondern auf jeden. Ihr Instagram-Account oder Ihr Netflix-Zugang bringt den Phishern im Darknet zwar nur ein paar Dollar ein, doch wer große Stückzahlen verkauft, macht trotzdem einen guten Schnitt.

Mit den folgenden Strategien und Tipps sind Sie dazu in der Lage, verdächtige Mails zu erkennen und die richtigen Entscheidungen zu treffen, um nicht in die Phishing-Falle zu tappen. Es geht mit den offensichtlichen Warnsignalen los, die jeder kennen sollte, und weiter damit, wie Sie anhand der Mail-Innereien den Versandweg rekonstruieren und mithilfe des Sender Policy Framework (SPF) gefälschte Absender aufdecken.

Gut vorbereitet

Um keine unnötigen Risiken einzugehen, sollten alle verfügbaren Software-Updates für Betriebssystem, Browser und Mailprogramm installiert sein, da Updates häufig Sicherheitslücken schließen. Das gilt auch für alle Anwendungen, mit denen Sie Anhänge öffnen, allen voran Ihre Office-Suite und Ihr PDF-Viewer.

Stellen Sie Ihren Mailclient oder Webmail-Account am besten so ein, dass standardmäßig die Textversion einer Mail angezeigt wird, sofern möglich. Denn HTML-Mails können Sie leicht in die Irre führen, etwa durch ein offiziell anmutendes Äußeres oder gefälschte Links, die auf eine andere als die angezeigte URL verweisen. Im Textmodus sehen Sie das tatsächliche Linkziel auf den ersten Blick.

Seriöse HTML-Mails enthalten in der Regel eine Textversion mit demselben Inhalt, Ihnen entgeht also nichts. Falls Sie Thunderbird benutzen, klicken Sie für den Textmodus im Menü auf „Ansicht/Nachrichteninhalt/Reiner Text“, bei Outlook ist der Weg länger: „Datei/Optionen/Trust Center/Einstellungen für das Trust Center…/E-Mail-Sicherheit/Als Nur-Text lesen/Standardnachrichten im Nur-Text-Format lesen“.

Phishing entzaubert: Im Nur-Text-Modus wird sofort klar, dass an der angeblichen Sparkassen-Mail von Seite 17 etwas faul ist. Die Grafiken liegen beim Gratis-Bilderhoster Imgur, der Link „Mitteilungen einsehen“ nutzt eine Google-Umleitung auf sparka-schnelle-abwicklung.com.
Phishing entzaubert: Im Nur-Text-Modus wird sofort klar, dass an der angeblichen Sparkassen-Mail von Seite 17 etwas faul ist. Die Grafiken liegen beim Gratis-Bilderhoster Imgur, der Link „Mitteilungen einsehen“ nutzt eine Google-Umleitung auf sparka-schnelle-abwicklung.com.

Führt kein Weg an der HTML-Version vorbei, sollte Ihr Mailclient so eingestellt sein, dass er keine Inhalte aus externen Quellen lädt. Beim Abruf solcher Inhalte nimmt Ihr System direkten Kontakt mit dem Zielserver auf, wodurch der Absender erfährt, dass Sie die Mail geöffnet haben und Ihre Mailadresse tatsächlich existiert – es lohnt sich also, Sie mit weiteren Mails zu belästigen. Thunderbird und Gmail laden standardmäßig keine externen Inhalte, bei Outlook gibt es wenige Ausnahmen (etwa für bekannte Absender), die Sie im Trust Center unter „Automatischer Download“ konfigurieren können.

Plausibilitätscheck

Jetzt ist es Zeit für den obligatorischen Plausibilitätscheck: Kennen Sie den Absender? Erwarten Sie eine Mail von ihm? Ist sein Anliegen plausibel? Besteht auch nur der geringste Zweifel, sollten Sie weiter recherchieren, ehe Sie sich weiter auf die Mail einlassen und gar einen Link oder Anhang öffnen.

Stammt die Mail angeblich von einer Person, mit der Sie bereits in Kontakt standen – etwa Kollegen, Geschäftspartnern, Freunden oder Familie? Der einfachste Weg, für Klarheit zu sorgen, ist beim Absender nachzufragen, ob er die Mail tatsächlich verschickt hat. Nutzen Sie dazu keine Kontaktdaten aus der Mail (auch wenn sie auf den ersten Blick korrekt erscheinen), sondern eine Mailadresse oder Telefonnummer, über die Sie bereits in der Vergangenheit Kontakt hatten oder die von der legitimen Website des Absenders stammt.

Das Gleiche gilt für Zahlungsaufforderungen, Versandbestätigungen über nicht bestellte Ware, Anwaltsschreiben, Hinweise von Zahlungsdienstleistern und Banken sowie Mails, die Sie auffordern, sich auf einer Website einzuloggen. Recherchieren Sie die Kontaktdaten des angegebenen Absenders aus einer unabhängigen Quelle wie Google und fragen Sie nach. Wenn Sie einen Account beim angeblichen Absender haben, dann loggen Sie sich dort ein (wohlgemerkt nicht über einen Link aus der Mail) und sehen sie nach, ob sich auch dort die Mitteilung findet.

Es gehört zum guten Ton, dass Sie in Mails mit Ihrem Namen angesprochen werden, Unternehmen geben oft auch Ihre Kundennummer oder ähnliches mit an. Dies allein ist kein Beweis dafür, dass eine Mail unbedenklich ist, allerdings sollten Sie skeptisch werden, wenn ein an Sie gerichtete Mail keine persönliche Anrede enthält.

Auch der angegebene Absender kann eine Mail zwar be-, aber nicht entlasten: Bei E-Mails sind Absenderadresse und Absendername frei wählbar, wie bei einer Postkarte. Sie können darüber also nicht zweifelsfrei feststellen, ob eine Mail echt ist. Nur die gegenteilige Feststellung ist möglich: Stammt die Mail von einer ungewöhnlichen Absenderadresse, dann ist ziemlich sicher etwas faul.

Bei Mails von Firmen und Behörden sollte die Absenderdomain zum Webauftritt passen, bei PayPal-Mails etwa paypal.de oder paypal.com. Offizielle Post werden Sie niemals von einer Freemail-Adresse (etwa @gmail.com oder @outlook.com) erhalten. Achten Sie bei der Absenderdomain penibel auf die Schreibweise, denn paypal.com ist eine andere Domain als paypa1.com oder paypal-kunden-support.com.

Wenn Sie sich unsicher sind, können Sie Absenderadresse zum Beispiel mit dem Reputationsdienst „Simple Email Reputation“ überprüfen (siehe ct.de/y2qp). Der Dienst liefert anhand zahlreicher Quellen wie Darknet-Leaks und Social-Media-Profilen eine Einschätzung, ob die Mailadresse vertrauenswürdig ist.

Der Webdienst „Simple Email Reputation“ schätzt ein, ob eine Absenderadresse vertrauenswürdig ist. Dafür zapft er zahlreiche Datenquellen an.
Der Webdienst „Simple Email Reputation“ schätzt ein, ob eine Absenderadresse vertrauenswürdig ist. Dafür zapft er zahlreiche Datenquellen an.

Social Engineering

Phishing ist eine Social-Engineering-Attacke – die Angreifer versuchen Sie trickreich in die Falle zu locken. Bei Phishing-Mails werden Sie meist direkt oder indirekt aufgefordert, einen Anhang zu öffnen oder einen Link anzuklicken, doch die Fantasie der Online-Schurken kennt keine Grenzen. Bei der Chef-Masche (auch CEO-Fraud genannt), gibt sich der Absender als Ihr Chef aus und fordert Sie beispielsweise auf, eine dringende Überweisung auszuführen. Lassen Sie sich nicht davon einschüchtern.

Gelegentlich verwickeln Sie die Betrüger auch in ein Gespräch, um zunächst eine Vertrauensbasis aufzubauen, ehe es ans Eingemachte geht. Geht es ums Geld, sollten den angegebenen Zahlungsempfänger genau überprüfen. Passen die angegebenen Bankdaten tatsächlich zu dem Unternehmen, das die Rechnung ausgestellt hat? Ist eine Bitcoin-Adresse oder eine ähnliche Krypto-Adresse im Spiel, handelt es sich mit hoher Wahrscheinlichkeit um einen Betrugsversuch.

Office ist Angreifers Liebling

E-Mail-Anhänge sind gefährlich – manche Dateiformate sind jedoch gefährlicher als andere. Angreifer haben es vor allem auf Microsoft Office abgesehen. Der Angriffscode steckt dann meist in Office-Makros, die den eigentlichen Schädling aus dem Internet nachladen und ausführen. Sie sollten bei Office-Dokumenten die gleiche Vorsicht walten lassen wie bei ausführbaren Dateien und sie erst mal nur mit der Kneifzange anfassen.

Sie erkennen Phishing-Dokumente zumeist daran, dass Sie nach dem Öffnen durch einen Text im Dokument aufgefordert werden, auf die gelbe Benachrichtigungsleiste oberhalb des Dokuments zu klicken, um die Ausführung von Makros zu genehmigen. Achtung: Der Text und das Dokument selbst werden oft trickreich gestaltet, sodass der Inhalt nicht nach Word-Seite oder Excel-Tabelle aussieht, sondern wie ein offizieller Programmdialog. Konkret werden Sie gebeten, in der Leiste auf „Bearbeitung aktivieren“ und „Inhalt aktivieren“ zu klicken. Kommen Sie dieser Aufforderung auf keinen Fall nach.

Phishing-Dokumente fordern häufig mit fadenscheinigen Argumenten dazu auf, auf die gelbe Leiste von Microsoft Office zu klicken. Dadurch wird das mitgelieferte Schadcode-Makro ausgeführt.
Phishing-Dokumente fordern häufig mit fadenscheinigen Argumenten dazu auf, auf die gelbe Leiste von Microsoft Office zu klicken. Dadurch wird das mitgelieferte Schadcode-Makro ausgeführt.

Kontrollieren Sie die Makro-Einstellungen in Ihrem Office, um sicherzustellen, dass Makros nicht automatisch ausgeführt werden. Klicken Sie hierzu auf „Datei/Optionen/Trust Center/Einstellungen für das Trust Center …“. Standardmäßig ist dort „Alle Makros mit Benachrichtigung deaktivieren“ eingestellt. Diese Einstellung begünstigt Phishing, weil man die Sperre über die gelbe Benachrichtigung umgehen kann.

Wenn Sie ohnehin nicht mit Makros arbeiten, schalten Sie diese am besten mit „Alle Makros ohne Benachrichtigung deaktivieren“ aus. Falls Makros in Ihrer Firma eingesetzt werden, sollten diese digital signiert werden, damit Office die Echtheit überprüfen kann. Dann können Sie in Office „Alle Makros, außer digital signierte Makros deaktivieren“ einstellen.

Um zu überprüfen, wie Ihr Office auf Makros reagiert, können Sie sich über den Emailcheck von heise Security eine Testmail mit einer ungefährlichen Word-Datei zusenden lassen (siehe ct.de/y2qp). Wird der darin enthaltene Makro-Code ausgeführt, erscheint der Hinweis „Achtung! Makro wurde ausgeführt!“.

Aktuell ist Microsoft dabei, die Zügel weiter anzuziehen und Makros in Office-Dokumenten, die aus dem Internet stammen, standardmäßig zu blockieren. In solchen Fällen erscheint statt der gelben Leiste eine rote Warnung: „SICHERHEITSRISIKO: Microsoft hat die Ausführung von Makros blockiert, da die Quelle dieser Datei nicht vertrauenswürdig ist.“

Office blockiert neuerdings Makros in Dokumenten aus Online-Quellen mit rotem Alarm. Der Schutz ist allerdings lückenhaft.
Office blockiert neuerdings Makros in Dokumenten aus Online-Quellen mit rotem Alarm. Der Schutz ist allerdings lückenhaft.

Ein echtes Hindernis ist dies jedoch nicht, man kann die Blockade leicht umgehen, indem man in den Dateieigenschaften bei „Sicherheit:“ das Häkchen „Zulassen“ setzt. Es ist davon auszugehen, dass sich diese Handlungsanweisung in Kürze auch in den Phishing-Dokumenten wiederfinden wird. Zudem ist der Schutz keineswegs zuverlässig: Die Entscheidung, ob er aktiv wird, trifft Office anhand der Dateimarkierung Mark-of-the-Web (MOTW), die Dateien aus dem Internet kennzeichnet.

Das MOTW steckt in den Alternate Data Streams (ADS) einer Datei, die normalerweise unsichtbar sind. Wenn Sie einen Blick riskieren möchten, können Sie die ADS in der Windows-Eingabeaufforderung mit dir dokument.doc /R auflisten und das MOTW mit notepad dokument.doc:Zone.Identifier:$DATA anschauen. „ZoneId=3“ kennzeichnet Dateien aus dem Internet.

Die Markierung muss das Programm setzen, das die Datei heruntergeladen hat. Doch daran hält sich längst nicht jedes: Öffnet man ein Word-Dokument über Outlook, erscheint die oben zitierte Warnung. Öffnet man die gleiche Datei über Thunderbird, fehlt das MOTW und Word zeigt lediglich die übliche gelbe Leiste mit „Makros wurden deaktiviert“. Ein Klick auf „Inhalt aktivieren“ rechts daneben reicht aus, um den Code auszuführen.

Ist einer Mail ein Containerformat wie ZIP oder ISO angehängt, ist zwar der Container mit der MOTW markiert, häufig jedoch nicht die daraus geöffnete Office-Datei. Das wissen auch die Cyber-Banden: Laut der Security-Firma Proofpoint verschicken die Phisher verstärkt Container anstelle von bloßen Office-Dokumenten, um die Schutzvorkehrung zu umgehen.

Gute Formate, schlechte Formate

Die Liste der Dateiformate, die gefährlichen Schadcode ausführen können, ist sehr lang. Schon bei den Microsoft-Office-Formaten gibt es mindestens 17, die Makros mitschleppen können, darunter die alten Binärformate DOC, PPT und XLS. Microsoft Excel kann sogar das Textformat CSV zum Verhängnis werden.

Darüber hinaus gibt es unzählige weitere Dateiformate, die Schaden unter Windows anrichten können. Das weiß auch Microsoft, denn Outlook blockiert standardmäßig den Zugriff auf über einhundert Dateitypen von ADE bis XNK. Noch nie gehört? Wir auch nicht. Es gilt: Was man nicht kennt, öffnet man nicht.

Höchst verdächtig sind verschlüsselte Dateien, wenn das dazugehörige Passwort in der Mail steht. Es handelt sich um einen alten Trick zur Verbreitung von Malware, denn Virenfilter können den Inhalt verschlüsselter Dateien nicht überprüfen. Selbst HTML-Dateien werden für Angriffe missbraucht, in solchen Fällen steckt die Phishing-Seite direkt im Anhang.

Wichtig zu wissen ist, dass die Office-Formate DOCX, PPTX und XLSX keine Makros enthalten können, von solchen Dokumenten geht also eine geringere Gefahr aus. Eine Unbedenklichkeitserklärung ist das jedoch nicht, denn selbst ohne Makros sind Angriffe möglich, zum Beispiel durch Sicherheitslücken in Office. Um das Risiko zu verringern, können Sie Office-Dokumente mit weniger verbreiteter Software wie LibreOffice öffnen. Die ist nicht per se sicherer, aber ein weniger wahrscheinliches Ziel für Angreifer.

PDF-Dateien sind ebenfalls nur mit Einschränkungen zu genießen, denn sie können JavaScript und eingebettete Dateien mit Schadcode enthalten. Öffnen Sie verdächtige PDFs besser nicht mit dem funktionsreichen Adobe Acrobat Reader, sondern mit dem Browser. Die PDF-Viewer der Browser unterstützen weniger PDF-Funktionen und bieten so eine geringere Angriffsfläche. Außerdem laufen sie eben im Browser und der ist darauf ausgelegt, mit nicht vertrauenswürdigen Inhalten aus dem Internet konfrontiert zu werden. Am besten untersuchen Sie die Office- und PDF-Dateien vor dem Öffnen, ob sie ausführbaren Code oder eingebettete Dateien enthalten. Wie das funktioniert, erfahren Sie ab Seite 28.

In seltenen Fällen, zum Beispiel im Rahmen staatlich initiierter Cyber-Angriffe, werden sogenannte Zero-Day-Lücken ausgenutzt, für die es noch keinen Patch gibt. Beispielsweise hat Microsoft im Mai eine hochgefährliche PDF-Datei entdeckt, die zunächst eine zum damaligen Zeitpunkt ungepatchte Lücke im Adobe Reader ausgenutzt haben soll, um anschließend über eine weitere Zero-Day-Lücke Windows zu attackieren. Die Datei soll zur Verbreitung der Spionagesoftware Subzero eines Wiener Herstellers gedient haben. Vor Zero-Day-Attacken können Sie sich kaum schützen, sie sind allerdings auch recht selten und richten sich eher gegen spezifische Ziele, nicht gegen die breite Masse der Anwender.

Insbesondere unter Windows sollte ein Virenschutz aktiv sein, der neue Dateien automatisch überprüft. Der vorinstallierte Windows Defender leistet gute Dienste. Ein Virenscanner erhöht die Chance, dass eine schädliche Datei frühzeitig auffliegt. Wird der Virenschutz nicht fündig, ist das jedoch keine Garantie dafür, dass eine Datei sauber ist. Sehen Sie davon ab, Dateianhänge, die persönliche oder vertrauliche Daten enthalten könnten, bei kostenlosen Online-Analysediensten wie VirusTotal oder Hybrid Analysis hochzuladen. Solche Dienste teilen die Dateien mit Dritten, etwa zu Forschungszwecken. Sie riskieren durch den Upload einen DSGVO-Verstoß.

Mailanhänge bei Online-Analysediensten wie VirusTotal hochzuladen ist keine gute Idee, da die Dienste die Dateien mit Dritten teilen. Verdächtige URLs können Sie den Diensten aber anvertrauen.
Mailanhänge bei Online-Analysediensten wie VirusTotal hochzuladen ist keine gute Idee, da die Dienste die Dateien mit Dritten teilen. Verdächtige URLs können Sie den Diensten aber anvertrauen.

Lassen Sie sich nicht linken

Nicht nur Dateianhänge können gefährlich sein, sondern auch Links. Stellen Sie wie oben beschrieben den Nur-Text-Modus im Mail-Client ein, damit man Ihnen keine manipulierten Links unterjubeln kann, deren Ziel von der angezeigten URL abweicht. Achten Sie außerdem darauf, dass die Zieladresse mit https:// beginnt. An diesem Präfix erkennen Sie Websites, die nach Stand der Technik transportverschlüsselt (TLS/SSL) übertragen werden. Allerdings ist HTTPS kein Indikator dafür, dass sie der Website vertrauen können, da auch auch die meisten Phishing-Websites über HTTPS ausgeliefert werden.

Achten Sie penibel auf die Schreibweise der URL. Ein falscher Buchstabe, ein „I“ (großes „i“) anstelle eines „l“ (kleines „L“), reicht aus, um Sie auf eine völlig andere Website zu lotsen. Phisher verlängern legitime Domains auch gern durch unauffällige Zusätze, etwa „sparkasse-onlinebanking.de“ statt „sparkasse.de“. Steuern Sie im Zweifel immer die Ihnen bekannte, echte Adresse einer Website an, zum Beispiel über Ihre Booksmarks im Browser.

Falls Sie sich schon vor dem Besuch eines Links sicher sind, dass etwas faul ist, sollte Sie davon absehen, die verlinkte Website aus Neugier anzusteuern – nicht nur, weil dort etwa Malware auf Lücken in Ihrem Browser spitzen kann: Die Links sind häufig mit der Empfängeradresse verknüpft. Sie bestätigen Ihre Mailadresse durch das Aufrufen des Links. Meiden Sie auch demselben Grund auch Abmelden-Links (Unsubscribe) in Spam-Mails.

Zur Analyse verdächtiger Links können Sie verschiedene Online-Dienste nutzen: Browserling öffnet URLs in einer virtuellen Umgebung mit einem Browser Ihrer Wahl, VirusTotal befragt nach der Eingabe eines Links über 80 Security-Dienste und urlscan.io trägt diverse Informationen über eine Website zusammen, ehe ein Urteil darüber gefällt wird, ob sie Böses im Schilde führt (siehe ct.de/y2qp).

Die Single-Sign-on-Seite von Microsoft bauen Phisher besonders oft nach, weil sie die Türen vieler Unternehmen öffnet.
Die Single-Sign-on-Seite von Microsoft bauen Phisher besonders oft nach, weil sie die Türen vieler Unternehmen öffnet.

Zwei Faktoren, null Hacks

Zum Schutz vor Phishing zählt auch, auf den Ernstfall vorbereitet zu sein: Fällt man in der Hektik des Alltags doch mal auf eine gut gemachte Phishing-Mail rein, sollte der Schaden so gering wie nur irgendwie möglich sein. Aktivieren Sie bei allen wichtigen Diensten die Zwei-Faktor-Authentifizierung [1]. Dann ist zum Einloggen neben den Zugangsdaten ein weiterer Faktor nötig – beispielsweise ein Einmalpasswort in Form eines kurzzeitig gültigen Zahlencodes, den Sie mit einer Authenticator-App auf Ihrem Smartphone generieren.

Haben Sie Ihre Zugangsdaten versehentlich einer Phishing-Website anvertraut, schauen die Cyber-Ganoven dann trotzdem in die Röhre, da sie sich ohne den zweiten Faktor nicht einloggen können. Gefährlich wird es allerdings, wenn Sie nicht nur Ihre Zugangsdaten, sondern auch das Einmalpasswort in die Phishingsite tippen. Für einen kurzen Moment ist dann ein Fremdzugriff möglich – Zeit genug, um automatisiert ein Session-Cookie vom Dienst abzurufen und Ihren Account damit dauerhaft zu übernehmen. Laut der Sicherheitsfirma Zscaler richten sich solche Man-in-the-Middle-Angriffe auf den zweiten Faktor aktuell vor allem gegen Unternehmen, die Google- und Microsoft-Dienste einsetzen.

Davor schützt Sie der FIDO2-Standard, bei dem ein Sicherheitschip in Ihrem Rechner oder Smartphone den zweiten Faktor stellt. Alternativ können Sie auch einen USB-Sicherheitsschlüssel nutzen. Bei FIDO2 fließt automatisch die Domain der Website in die Berechnung des zweiten Faktors ein. Loggen Sie sich versehentlich auf der imaginären Phishing-Website paypa1.com mit FIDO2 ein, können die Online-Schurken die erbeuteten Daten deshalb nicht nutzen, um auf Ihr Konto bei paypal.com zuzugreifen.

Darüber hinaus gilt der alte, aber wichtige Tipp: Nutzen Sie möglichst für jeden Dienst ein anderes Passwort. So stellen Sie sicher, dass sich ein Angreifer mit erbeuteten Zugangsdaten nicht auch bei beliebig vielen weiteren Diensten einloggen kann. Die ganzen Passwörter müssen Sie sich weder merken noch ausdenken – ein Passwortmanager wie Bitwarden oder KeePass nimmt Ihnen die ganze Arbeit ab [2].

Auch das Thema Backups sollten Sie bei der Vorsorge für den Ernstfall nicht vernachlässigen. Cyber-Ganoven haben es auf Ihre Daten abgesehen und verschlüsseln diese, um von Ihnen anschließend ein Lösegeld zu erpressen. Damit sich in einem solchen Fall der Schaden in Grenzen hält, müssen Sie regelmäßig Backups Ihrer wichtigen Daten erstellen – insbesondere, wenn es um kritische Unternehmensdaten geht, ohne die der Geschäftsbetrieb nicht möglich ist.

, Quelle: StatCounter
Quelle: StatCounter

Risiko Windows

Wenn Sie mit Windows arbeiten, dann ist die von Phishing-Mails ausgehende Gefahr am größten: Angehängter Schadcode ist fast immer auf Windows abgestimmt. Das liegt nicht daran, dass Windows besonders unsicher ist, sondern vor allem an der enormen Verbreitung. Hierzulande läuft das Microsoft-Betriebssystem Statistiken zufolge auf rund 75 Prozent aller PCs, in Unternehmen dürfte der Anteil noch größer sein. Auf Platz 2 liegt macOS mit fast 20 Prozent.

Angreifer suchen sich meist das größte Ziel – also Windows, gefolgt von macOS. Je weniger verbreitet Ihr Betriebssystem ist, desto geringer ist die Wahrscheinlichkeit eines erfolgreichen Angriffs. Wenn Sie nicht auf Windows-Software angewiesen sind und ohnehin hauptsächlich im Browser arbeiten, lohnt es sich, einen Wechsel auf Linux oder Chrome OS in Betracht zu ziehen.

Bei den Mobilbetriebssystemen steht vor allem Android unter Beschuss, da man hier beliebige Apps als APK-Datei installieren kann – ganz ohne den Store und die damit verbundenen Sicherheitsauflagen. Werden Sie unter fadenscheinigen Gründen aufgefordert, eine APK-Datei zu installieren, zum Beispiel ein vermeintliches Sicherheits-Update fürs Online-Banking, dann versucht ihnen jemand mit hoher Wahrscheinlichkeit einen Trojaner unterzujubeln. Bei iOS ist das Trojanerrisiko geringer, weil eine Infektion aufwendiger ist und etwa das Ausnutzen einer Sicherheitslücke erfordert.

Achten Sie auch auf verdächtige Nachrichten aus sämtlichen Kanälen: Nicht nur Mails, auch WhatsApp-Nachrichten, SMS, Social Networks wie Facebook und Instagram, Anrufe und so weiter werden für Phishing missbraucht. Haben die Angreifer Kontaktdaten kopiert, kommt die Phishing-Nachricht womöglich sogar von einem Ihrer Freunde.

Herz und Nieren

Mit den oben beschrieben Maßnahmen sollten Sie die meisten Phishing-Fälle klären können, die größten Gefahren sind gebannt. Wenn Sie den Dingen gerne auf den Grund gehen, dann sollten Sie sich den Quelltext der verdächtigen Mail anzeigen lassen. Interessant ist vor allem der Header-Bereich oberhalb der eigentlichen Nachricht, denn hier gibt es viel zu entdecken; darunter der detaillierte Übertragungsbericht mit Informationen über das Mail-Relay, das die Mail eingeliefert hat.

Thunderbird-Nutzer finden den Quelltext einer gerade geöffneten Mail unter „Mehr/Quelltext anzeigen“. Wenn Sie Outlook nutzen, können Sie den Mail-Header wie folgt einsehen: Klicken Sie in der Nachrichtenliste doppelt auf eine Mail, um sie in einem eigenen Fenster zu öffnen, und anschließend auf „Datei/Eigenschaften“. Auch Webmailer bieten diese Funktion meist, bei Gmail klicken Sie nach dem Öffnen einer Mail unterhalb des Betreffs auf den Knopf mit den drei Punkten und „Original anzeigen“.

Welchen Weg die Mail genommen hat, verraten Ihnen die mit „Received:“ beginnenden Header-Zeilen von der untersten nach oben. Entscheidend ist der Übergabepunkt zum Eingangsserver Ihres Mail-Anbieters, bei einer Mail von rei@ct.de an eine Gmail-Adresse etwa: „Received: from relay.heise.de (relay.heise.de. [2a00:e68:14:800::19:19]) by mx.google.com […]“.

Der Mail Header Analyzer zeichnet den Versandweg einer Mail nach und zeigt nützliche Informationen aus dem Mail-Header an. Das Tool läuft im Browser und als Outlook-Add-In.
Der Mail Header Analyzer zeichnet den Versandweg einer Mail nach und zeigt nützliche Informationen aus dem Mail-Header an. Das Tool läuft im Browser und als Outlook-Add-In.

Um den Versandweg nachzuvollziehen, sind Analyse-Tools hilfreich, die automatisch die relevanten Zeilen im Mail-Code finden und in die richtige Reihenfolge stellen. Empfehlenswert ist der „Message Header Analyzer“ des Microsoft-Mitarbeiters Stephen Griffin (siehe ct.de/y2qp), da das Tool Mails lokal im Browser auswertet. Outlook-Nutzer können es als Add-In ins Mailprogramm einklinken.

Die Mail wurde im obigen Beispiel vom Host relay.heise.de mit der IPv6-Adresse 2a00:e68:14:800::19:19 bei Google abgeliefert. Aber ist dieser Host tatsächlich für den angegebenen Absender rei@ct.de zuständig? Das können Sie im DNS-Eintrag der Absenderdomain nachschlagen. Die für die Domain zuständigen Mailserver sind dort in den sogenannten MX-Records vermerkt. Die MX-Records können Sie zum Beispiel über den Onlinedienst MXToolbox abfragen (siehe ct.de/y2qp).

Nach der Eingabe von ct.de listet der Dienst unter anderem auch relay.heise.de auf und ermittelt dazu die IP-Adresse, die der bereits bekannten aus dem Mail-Header entspricht – es passt also alles zusammen. Wenn Sie in der Zeile auf „Blacklist Check“ klicken, erfahren Sie auch gleich, ob der Mailserver auf Antispam-Blacklists steht.

Anti-Spoofing-Check

Gespoofte Absender, also Absender mit gefälschter Mailadresse, stellen mittlerweile kein allzu großes Problem mehr dar. Das hat einen einfachen Grund: Solche Phishing-Mails kommen mit hoher Wahrscheinlichkeit nicht an. Das ist unter anderem dem Anti-Spoofing-Verfahren „Sender Policy Framework“ (SPF) zu verdanken. Damit können Admins im DNS-Eintrag ihrer Domains hinterlegen, von welchen IP-Adressen die Domains als Absender genutzt werden dürfen.

Der Empfangsserver kann beim Eintreffen einer Mail diese Informationen einfach per DNS-Abfrage abrufen und überprüfen, ob die IP-Adresse des einliefernden Mail-Relays auf der Whitelist steht. Im SPF-Eintrag kann vorgegeben sein, dass alle anderen IPs als „Fail“ zu behandeln sind, also als nicht autorisierte Absender. In diesem Fall wird ein moderner Empfangsserver die Mail aussortieren, noch bevor sie den Posteingang erreicht.

Das Ergebnis der SPF-Überprüfung wird üblicherweise in den Header der Mail geschrieben, nachgelagerte Spamfilter und Mail-Clients können die Information also in die Risikobewertung einbeziehen. Mit dem oben erwähnten Add-on „Message Header Analyzer“ können Sie das Ergebnis auch in Outlook nachvollziehen, Gmail-Nutzer klicken im Menü der Nachricht auf „Original anzeigen“. Die SPF-Records eigener und fremder Domains können Sie zum Beispiel über den Webdienst „SPF Record Checker“ von DNS Checker (siehe ct.de/y2qp) herausfinden.

SPF macht es Phishern schwer, eine Domain als Absender zu missbrauchen. Mit dem SPF Record Checker überprüfen Sie, ob der Spoofing-Schutz für eigene und fremde Domains aktiv ist.
SPF macht es Phishern schwer, eine Domain als Absender zu missbrauchen. Mit dem SPF Record Checker überprüfen Sie, ob der Spoofing-Schutz für eigene und fremde Domains aktiv ist.

Wer selbst Mail-Accounts anbietet, ist gut damit beraten, nicht nur die SPF-Records eingehender Mails zu überprüfen, sondern auch für die eigenen Domains SPF-Einträge zu hinterlegen, damit die Domains nicht so leicht als Absender missbraucht werden können. Falls Sie externe Dienste mit der Domain nutzen, etwa Newsletter-Dienstleister, müssen Sie auch diese in den SPF-Records hinterlegen.

Ein weiteres erwähnenswertes Schutzverfahren nennt sich „DomainKeys Identified Mail“ (DKIM). Damit lassen sich Mails digital signieren. Der Empfänger kann dann verifizieren, dass die Nachricht tatsächlich von einem Mailserver stammt, der für die Absenderdomain zuständig ist. Der Mailserver des Absenders nutzt zum Signieren einen geheimen Kryptoschlüssel, der dazu passende öffentliche Schlüssel muss im DNS-Eintrag der Domain hinterlegt sein.

Zum Anzeigen der DKIM-Daten aus dem Header können Outlook-Nutzer wieder das Add-on „Message Header Analyzer“ nutzen, Gmail-Nutzer klicken auf „Original anzeigen“. Für Thunderbird gibt es die Erweiterung „DKIM Verifier“ von Philippe Lieser (siehe ct.de/y2qp), die das Ergebnis der DKIM-Prüfung alltagstauglich im Kopfbereich jeder Mail anzeigt. Ausführliche Informationen über SPF, DKIM und DMARC, das beide Verfahren vereint, finden Sie in c’t 9/2019 [3].

PayPal-Phishing 2.0

Die Verfahren greifen allerdings nur, wenn die Phishing-Mail in irgendeiner Form technisch manipuliert und etwa mit einem gespooften Absender verschickt wurde. Nutzt der Absender ein eigenes oder kompromittiertes Mailkonto, schlagen SPF und DKIM nicht Alarm, weil die Mails über den legitimen Mailserver der Absenderadresse verschickt werden. Das Gleiche gilt, wenn es Online-Schurken gelingt, einen vertrauenswürdigen Dienstleister vor ihren Karren zu spannen.

Beispielsweise hat die Security-Firma Avanan beobachtet, dass Betrüger die PayPal-Funktion „Geld anfordern“ für Phishing missbrauchen. Darüber könnten PayPal-Nutzer Geldanforderungen an beliebige Mail-Adressen schicken. Der Empfänger bekommt auf diese Weise eine offizielle Mail von service@paypal.de mit gültiger DKIM-Signatur, die es mit hoher Wahrscheinlichkeit in den Posteingang schafft. Der Absender kann einen bis zu 3500 Zeichen langen Text eingeben, der in der PayPal-Mail auftaucht. Vor solchen perfiden Phishing-Tricks können Sie sich nur selbst schützen: durch einen Plausibilitätscheck und eine gesunde Portion Skepsis.

Fazit

Die Tipps und Hintergründe in diesem Artikel helfen Ihnen dabei, Phishing-Mails zu erkennen, damit Sie nicht in die Falle tappen. Denn die wichtigste Verteidigung gegen solche Social-Engineering-Angriffe ist Wissen – insbesondere beim Bewerten von Dateianhängen und Links. Teilen Sie dieses Wissen mit anderen, damit auch Familie, Freunde und Kollegen nicht auf gefährliche Mails reinfallen. (rei@ct.de)

  1. Literatur
  2. Niklas Dierking und Ronald Eikenberg, Schlosskombination, Verfahren und Geräte für sichere Online-Zugänge, c’t 9/2022, S. 18
  3. Jan Schüßler und Marvin Strathmann, Ich kaufe ein ****, 25 Passwortmanager für PC und Smartphone, c’t 5/2021, S. 16
  4. Patrick Koetter, Wagenburg, Wie SPF, DKIM und DMARC gegen Phishing und Spoofing helfen, c’t 9/2019, S. 174

Analysetools: ct.de/y2qp