Was ist ein Algorithmus?

Ein Algorithmus ist eine klar definierte Abfolge von Schritten oder Anweisungen, die dazu dienen, ein bestimmtes Problem zu lösen oder eine Aufgabe zu erfüllen. Man kann sich einen Algorithmus wie ein Rezept vorstellen: Es gibt genaue Anweisungen, welche Zutaten in welcher Reihenfolge verwendet werden sollen, um ein bestimmtes Ergebnis zu erzielen – sei es ein Kuchen oder ein Suchergebnis.

Warum sind Algorithmen so bedeutsam?

Sie sind das Herzstück der Informatik und bilden die Grundlage für fast alle digitalen Prozesse. Ihre Bedeutung lässt sich auf drei Hauptaspekte herunterbrechen:

1. Effizienz: Sie ermöglichen es, komplexe Aufgaben schnell und ressourcenschonend zu bewältigen. Denken Sie an das Sortieren riesiger Datenmengen oder die Analyse von Milliarden von Webseiten in Sekundenbruchteilen.
2. Automatisierung: Viele Prozesse, die früher manuell erledigt wurden, können heute durch Algorithmen automatisiert werden. Beispiele reichen von der Automatisierung in der Produktion bis hin zu maschinellem Lernen und künstlicher Intelligenz.
3. Skalierbarkeit: Sie ermöglichen es, Lösungen auf Millionen oder sogar Milliarden von Nutzern anzuwenden, wie wir es bei sozialen Netzwerken, Online-Shopping und Cloud-Diensten sehen.

Arten von Algorithmen

Sie sind so vielfältig wie die Probleme, die sie lösen. Einige der wichtigsten Kategorien sind:

• Sortieralgorithmen: Wie der Name schon sagt, dienen sie dazu, Daten zu sortieren. Beispiele sind der bekannte Quicksort oder Mergesort.
• Suchalgorithmen: Diese helfen, bestimmte Informationen in einer Datenmenge zu finden, etwa der Binärsuchalgorithmus.
• Optimierungsalgorithmen: Sie finden die besten Lösungen für Probleme, sei es das Kürzeste-Wege-Problem oder die Optimierung von Produktionsprozessen.
• Kryptografische Algorithmen: Sie sichern unsere Daten, sei es durch Verschlüsselung oder Authentifizierung.

Herausforderungen und Kritik

Trotz ihrer Vorteile sind Algorithmen nicht frei von Kritik. Hier sind einige der zentralen Herausforderungen:

1. Bias in Algorithmen: Sie spiegeln oft die Vorurteile ihrer Entwickler oder der zugrunde liegenden Daten wider. Dies kann zu Diskriminierung und unfairen Entscheidungen führen.
2. Transparenz: Viele Algorithmen, insbesondere solche, die von Unternehmen wie Google oder Facebook verwendet werden, sind undurchsichtig. Nutzer wissen oft nicht, warum ihnen bestimmte Inhalte angezeigt werden.
3. Abhängigkeit: Unsere zunehmende Abhängigkeit von Algorithmen birgt Risiken, insbesondere wenn diese fehlerhaft oder manipulierbar sind.

Zukunft der Algorithmen

Mit dem Fortschritt in der künstlichen Intelligenz werden Algorithmen immer leistungsfähiger. Sie werden in der Lage sein, komplexe Aufgaben wie Sprachverarbeitung (NLP), Bildanalyse und sogar kreative Arbeiten zu bewältigen. Gleichzeitig werden Diskussionen über ethische Standards und Regulierung immer wichtiger, um sicherzustellen, dass Algorithmen fair, transparent und verantwortungsbewusst eingesetzt werden.

Fazit

Sie sind die unsichtbaren Architekten unserer digitalen Welt. Sie erleichtern unser Leben, beschleunigen Prozesse und öffnen die Tür zu unglaublichen technologischen Fortschritten. Doch mit großer Macht kommt große Verantwortung. Es liegt an uns allen – Entwicklern, Unternehmen, Regierungen und Nutzern –, sicherzustellen, dass Algorithmen für das Wohl der Gesellschaft eingesetzt werden. Denn letztlich bestimmen sie nicht nur, was wir sehen, sondern auch, wie wir die Welt wahrnehmen.

Der Beitrag Algorithmen – Die unsichtbaren Architekten unserer Welt erschien zuerst auf CEOsBay.

Was ist ein VPN?

Ein Virtual Private Network (VPN) erstellt eine private Verbindung über ein öffentliches Netzwerk, häufig das Internet. Es ermöglicht Benutzern, Daten zu senden und zu empfangen, während die Sicherheit, Funktion und Privatsphäre eines privaten Netzwerks beibehalten wird. VPNs nutzen Verschlüsselung und andere Sicherheitsmechanismen, um sicherzustellen, dass nur autorisierte Benutzer auf das Netzwerk zugreifen können und dass die Daten nicht abgefangen werden können.

Wie funktioniert ein VPN?

VPNs verbergen die tatsächliche IP-Adresse eines Benutzers und ersetzen sie durch die IP-Adresse des VPN-Servers. Dies kann auch dazu verwendet werden, geografische Beschränkungen zu umgehen, indem eine Verbindung zu einem Server in einem anderen Land hergestellt wird. Die Daten, die zwischen dem Benutzer und dem VPN-Server gesendet werden, werden verschlüsselt, um sicherzustellen, dass sie privat und sicher bleiben.

Warum wird ein VPN benötigt?

Die Notwendigkeit eines VPNs ergibt sich aus drei Hauptgründen: Datenschutz, Sicherheit und Freiheit. VPNs schützen die Privatsphäre, indem sie die Internetaktivitäten eines Benutzers vor Neugierigen, einschließlich Internetdienstanbietern, verbergen. Sie erhöhen die Sicherheit, indem sie Daten verschlüsseln und so sicherstellen, dass sie nicht abgefangen oder gestohlen werden können. Und sie ermöglichen die Freiheit, indem sie es Benutzern ermöglichen, geografische Beschränkungen zu umgehen und auf Inhalte zuzugreifen, die sonst blockiert oder eingeschränkt wären.

Auswahl eines VPN-Anbieters

Bei der Auswahl eines VPN-Anbieters sollte auf eine Reihe von Faktoren geachtet werden. Dazu gehören die Qualität der Verschlüsselung, die Anzahl der verfügbaren Server und deren Standorte, die Geschwindigkeit der Verbindung, die Preisgestaltung und die Datenschutzrichtlinien des Anbieters. Es ist wichtig, einen Anbieter zu wählen, der eine starke Verschlüsselung und eine klare Datenschutzrichtlinie bietet und keine Benutzerdaten protokolliert.

Risiken und Grenzen von VPNs

Obwohl VPNs viele Vorteile bieten, haben sie auch ihre Grenzen und Risiken. Einige Websites und Dienste blockieren den Zugriff von VPN-Servern, was zu eingeschränkter Funktionalität führen kann. Es ist möglich, dass die Nutzung eines VPNs die Verbindungsgeschwindigkeit negativ beeinflusst. Darüber hinaus sind nicht alle VPN-Anbieter gleich und einige können riskant sein, insbesondere kostenlose Dienste, die oft Benutzerdaten sammeln und verkaufen.

Alternativen zu VPNs

Proxy Server

Proxy-Server können in einigen Fällen als Alternative zu VPNs dienen, sie bieten jedoch in der Regel nicht das gleiche Maß an Sicherheit und Datenschutz.

Ein Proxy-Server fungiert als Vermittler zwischen dem Benutzer und dem Internet, ähnlich wie ein VPN. Man kann es verwenden, um die IP-Adresse des Benutzers zu verbergen und geografische Beschränkungen zu umgehen. Allerdings verfügen die meisten Proxy-Server nicht über die starken Verschlüsselungsmechanismen, die VPNs verwenden, um die Daten des Benutzers zu schützen. Daher sind sie anfälliger für Abfangen und Überwachung.

Außerdem können Proxy-Server die Internetgeschwindigkeit oft stärker verlangsamen als VPNs und sie sind in der Regel nicht in der Lage, alle Internetverbindungen auf einem Gerät zu routen, sondern funktionieren nur auf Anwendungsebene.

Daher, während Proxy-Server in bestimmten Situationen nützlich sein können, insbesondere wenn es nur darum geht, geografische Beschränkungen zu umgehen, bieten sie im Allgemeinen nicht das gleiche Niveau an Sicherheit, Datenschutz und Gesamtverbindungsschutz, das VPNs bieten.

Einen spezifischen Beitrag zu einem Proxy Server habe ich hier (Proxy – Sicher, schnell und zuverlässig) geschrieben.

Das Tor-Netzwerk

Tor, das für „The Onion Router“ steht, ist ein Netzwerk, das Internetverbindungen über mehrere verschachtelte Server (die sogenannten Tor-Knoten) leitet, um Anonymität zu gewährleisten. Während Tor eine starke Anonymität bietet, kann es die Internetgeschwindigkeit erheblich verlangsamen und einige Websites blockieren Tor-Verbindungen.

Smart DNS

Ein Smart DNS (Domain Name System) ist ein Dienst, der den DNS-Server, den ein Gerät verwendet, ändert, um geografische Beschränkungen zu umgehen. Es bietet jedoch keine zusätzliche Sicherheit oder Verschlüsselung.

https

https (Hypertext Transfer Protocol Secure) ist eine sichere Version des https-Protokolls, das Websites verwenden. Es verschlüsselt die Verbindung zwischen einem Benutzer und einer Website, um den Datenverkehr zu schützen. Es schützt jedoch nur den Datenverkehr zwischen dem Benutzer und der Website und bietet keinen Schutz für andere Internetverbindungen oder Aktivitäten.

Einen spezifischen Beitrag zu https und https habe ich hier (https und https – Eine Reise zur Web-Sicherheit) geschrieben.

Ende-zu-Ende-Verschlüsselung

Bei der Ende-zu-Ende-Verschlüsselung kann man Daten so verschlüsseln, dass nur die kommunizierenden Benutzer sie entschlüsseln. Es wird oft in Messaging-Apps und anderen Kommunikationstools verwendet. Hierzu kann man sich auch die Beiträge über Signal und Delta Chat anschauen. Es schützt jedoch nur die Daten innerhalb der verschlüsselten Kommunikation und nicht andere Internetverbindungen oder Aktivitäiten.

Fazit

VPNs spielen eine immer wichtigere Rolle in der digitalen Welt, da sie Datenschutz, Sicherheit und Freiheit im Internet bieten. Bei der Auswahl eines VPN-Anbieters sollten Benutzer jedoch vorsichtig sein und Anbieter auf der Grundlage ihrer Sicherheitsmerkmale, Datenschutzrichtlinien und Leistungsfähigkeit bewerten. Trotz ihrer Grenzen und potenziellen Risiken stellen VPNs ein unverzichtbares Werkzeug für eine sichere und private Internetnutzung dar. Empfehlungen werde ich keine Aussprechen, da mir dieses Thema etwas zu heikel ist. Dennoch gibt es in der nahen Zukunft bestimmt noch die Vorstellung der ein oder anderen VPN Lösung.

Der Beitrag VPN (Virtual Private Networks) – Datenschutz im Internet erschien zuerst auf CEOsBay.

Kurze Zeitreise

Die ISO-Norm 25010 ist aus dem Bedürfnis heraus entstanden, ein international anerkanntes und einheitliches Rahmenwerk für die Bewertung und Verbesserung von Software- und Systemqualität bereitzustellen. Die Geschichte von ISO 25010 ist eng mit der Entwicklung der ISO/IEC 25000-Serie (SQuaRE) verbunden, die sich aus früheren Standards und Modellen zur Softwarequalität entwickelt hat.

Entstehung

Und wenn man es genau nimmt, geht die Geschichte noch weitaus früher los. Und zwar mit McCall’s Quality Model aus dem Jahr 1977. Dieses Modell definierte 11 Qualitätsfaktoren, wie Zuverlässigkeit, Effizienz und Wartbarkeit, die die Softwarequalität beeinflussen bzw. mit Boehm’s Quality Model aus dem Jahr 1978. Wobei letzteres Modell sieben Hauptqualitätsmerkmale vorschlug, die die Softwarequalität beeinflussen. Dabei beispielsweise die Portabilität, Zuverlässigkeit und Verständlichkeit.

Die Internationale Organisation für Normung (ISO) und die Internationale Elektrotechnische Kommission (IEC) entwickelten gemeinsam den ISO/IEC 9126-Standard, der man 1991 veröffentlichte. Dieser Standard führte ein hierarchisches Qualitätsmodell ein, dass aus sechs Hauptqualitätsmerkmalen (Funktionalität, Zuverlässigkeit, Benutzbarkeit, Effizienz, Wartbarkeit und Übertragbarkeit) und mehreren Unterkriterien bestand. ISO/IEC 9126 legte den Grundstein für die Entwicklung der ISO/IEC 25000-Serie und ISO 25010.

ISO/IEC 25000-Serie

Die ISO/IEC 25000-Serie, auch als Systems and Software Quality Requirements and Evaluation (SQuaRE) bekannt, hat man entwickelt, um die verschiedenen Standards und Modelle zur Softwarequalität zu konsolidieren und eine umfassende, international anerkannte Normenserie für Software- und Systemqualität zu schaffen. Die Entwicklung von SQuaRE begann im Jahr 2001 und beinhaltete die Überarbeitung und Erweiterung des ISO/IEC 9126-Standards.

Folglich fand die Veröffentlichung von ISO 25010 im Jahr 2011 statt und ersetzte den früheren ISO/IEC 9126-Standard. Es führte zwei Qualitätsmodelle ein. Das Produktqualitätsmodell und das Qualitäts-in-Use-Modell. Die Hauptqualitätsmerkmale des Produktqualitätsmodells hat man von sechs auf acht erweitert, und die Unterkriterien hat man entsprechend aktualisiert. Sicherheit war nunmehr ein eigenständiges Hauptqualitätsmerkmal und die bestehenden Hauptqualitätsmerkmale hat man weiter verfeinert bzw. erweitert, um die Qualität von Software- und Softwaresystemen umfassender zu erfassen.

Die Entstehung von ISO 25010 ist das Ergebnis von jahrzehntelanger Forschung, Entwicklung und Konsolidierung von Best Practices und Standards zur Bewertung und Verbesserung der Software- und Systemqualität.

Sei der Veröffentlichung, hat ISO 25010 als zuverlässiger und anerkannter Standard für die Beurteilung der Softwarequalität gedient und den Entwicklern, Testern und Projektmanagern dabei geholfen, qualitativ hochwertige Produkte zu entwickeln und bereitzustellen.

Die dynamische Norm

Die ISO/IEC 25000-Serie und ISO 25010 sind nicht statisch. Man überprüft und aktualisiert die Inhalte kontinuierlich, um sich den stetig ändernden Anforderungen der Software- und Systementwicklung anzupassen. Die International Organization for Standardization (ISO) und die International Electrotechnical Commission (IEC) arbeiten gemeinsam daran, die Standards auf dem neuesten Stand zu halten und sie an neue Technologien, Methoden und Best Practices anzupassen.

Es ist wichtig zu beachten, dass man die ISO-Normen in einem Konsensprozess entwickelt, bei dem Experten aus verschiedenen Ländern und Organisationen zusammenarbeiten. Dies stellt sicher, dass die Normen umfassend und von hoher Qualität sind und die Bedürfnisse der verschiedenen Interessengruppen berücksichtigen.

Qualitätsmodelle

ISO 25010 bietet zwei Qualitätsmodelle: das Produktqualitätsmodell und das Qualitäts-in-Use-Modell. Das Produktqualitätsmodell bezieht sich auf die Qualität des Softwareprodukts selbst, während das Qualitäts-in-Use-Modell die Qualität aus der Perspektive des Endbenutzers bewertet.

Produktqualitätsmodell

Das Produktqualitätsmodell besteht aus acht Hauptqualitätsmerkmalen, die wiederum in mehrere Unterkriterien unterteilt sind. Die Hauptqualitätsmerkmale sind:

Funktionalität

Die Fähigkeit der Software, die geforderten Funktionen zu erfüllen, mit den Unterkriterien:

• Angemessenheit
• Richtigkeit
• Ordnungsmäßigkeit
• Interoperabilität
• Sicherheit

Leistungsfähigkeit

Die Fähigkeit der Software, in Bezug auf Leistung, Verarbeitungsgeschwindigkeit und Reaktionszeit auf Anforderungen zu reagieren. Mit den Unterkriterien:

• Zeitverhalten
• Ressourcenausnutzung

Kompatibilität

Die Fähigkeit der Software, in einer gemeinsamen Umgebung mit anderen Systemen oder Softwareprodukten zu interagieren. Mit den Unterkriterien:

• Koexistenz
• Interoperabilität

Benutzbarkeit

Die Fähigkeit der Software, von Benutzern effizient und zufriedenstellend genutzt zu werden. Mit den Unterkriterien:

• Verständlichkeit
• Erlernbarkeit
• Bedienbarkeit
• Attraktivität
• Barrierefreiheit

Zuverlässigkeit

Die Fähigkeit der Software, korrekt und zuverlässig zu funktionieren. Mit den Unterkriterien:

• Reife
• Fehlertoleranz
• Wiederherstellbarkeit

Sicherheit

Die Fähigkeit der Software, Vertraulichkeit, Integrität und Verfügbarkeit von Daten und Ressourcen zu gewährleisten. Mit den Unterkriterien:

• Vertraulichkeit
• Integrität
• Nichtabstreitbarkeit
• Rechenschaftspflicht
• Authentizität

Wartbarkeit

Die Fähigkeit der Software für Modifikationen und Verbesserbarkeit. Mit den Unterkriterien:

• Modularität
• Wiederverwendbarkeit
• Analysierbarkeit
• Modifizierbarkeit
• Testbarkeit (Hier möchte ich gerne auf TDD und BDD verweisen)

Übertragbarkeit

Die Fähigkeit der Software, von einer Umgebung in eine andere übertragen zu können. Mit den Unterkriterien:

• Anpassungsfähigkeit
• Installierbarkeit
• Konformität
• Austauschbarkeit

Qualitäts-in-Use-Modell

Das Qualitäts-in-Use-Modell beschreibt die Qualität aus der Perspektive des Endbenutzers und besteht aus fünf Hauptqualitätsmerkmalen:

Effektivität

Die Fähigkeit der Software, Benutzern dabei zu helfen, ihre Ziele präzise und vollständig zu erreichen.

Effizienz

Die Fähigkeit der Software, Benutzern zu ermöglichen, ihre Ziele mit angemessenen Ressourcen und minimalem Aufwand zu erreichen.

Zufriedenheit

Das Ausmaß, in dem die Software die Anforderungen und Erwartungen der Benutzer erfüllt.

Freiheit von Risiken

Die Fähigkeit der Software, potenzielle Schäden für Benutzer, Geschäftsprozesse oder die Umwelt zu minimieren.

Kontextabdeckung

Die Fähigkeit der Software, in verschiedenen Benutzer-, Organisations- und Umweltkontexten einsetzbar zu sein.

Fazit

Die ISO-Norm 25010 ist ein wertvolles Instrument zur Bewertung und Verbesserung der Qualität von Softwareprodukten und -systemen. Die Qualitätsmerkmale und Unterkriterien des Produktqualitätsmodells und des Qualitäts-in-Use-Modells ermöglichen eine umfassende Analyse und Bewertung verschiedener Aspekte der Softwarequalität. Softwareentwickler und Projektmanager können diese Modelle nutzen, um Qualitätsanforderungen zu definieren, Probleme zu identifizieren und Verbesserungen im Entwicklungsprozess umzusetzen. Dadurch entstehen qualitativ hochwertige Softwareprodukte, die den Bedürfnissen der Endbenutzer gerecht sind und zu einer höheren Zufriedenheit und besserer Performance beitragen.

Der Beitrag ISO-Norm 25010 – Leitfaden für herausragende Softwarequalität und vertrauenswürdige Systeme erschien zuerst auf CEOsBay.

Man verwendet den Ausdruck Modultest unter anderem bei frühen Teststufen, in denen man die inneren, detailliertesten Komponenten der Software testet. Gemäß Software Validation & Verification Plan sind diese Tests nur für Module mit geringer Kritikalität nicht notwendig. Im Grunde genommen bei Fehlern, die dem User nur geringfügige Unannehmlichkeiten bereiten.

In einer Abstraktion der verwendeten Programmiersprache, spricht man von Komponente oder Softwarebaustein. Den Test eines solchen einzelnen Softwarebausteins bezeichnet man auch allgemeiner als Komponententest.

Als Testbasis kann man in der Regel die komponentenspezifische Anforderung und das Softwaredesign der Komponente (auch Komponentenspezifikation genannt) heranziehen. Für Whitebox-Testfälle oder um Aussagen zur Codeüberdeckung zu erhalten, kann man zusätzlich den Sourcecode einer Komponente analysieren und diesen als Testbasis verwenden. Wobei dabei auch Tools wie Jacoco helfen können. Ob die Komponente auf einen Testfall richtig reagiert, muss man allerdings auch hier auf Basis der Design- und Anforderungsdokumente beurteilen.

Typische Testobjekte sind wie bereits beschrieben Programmunits, -Module bzw. Klassen. Aber auch Kommandozeilenskripte des Betriebssystems (Shell-Skripte), Datenbankskripte, Datenkonvertierungs- oder Migrationsprozeduren, Datenbankinhalte sowie Konfigurationsdaten können Testobjekte sein. Kennzeichnend ist in der Regel der isolierte Test eines einzelnen Softwarebausteins. Dies dient primär, um komponentenexterne Einflüsse beim Testen auszuschließen. Alle so ermittelten Fehler kann man so dem spezifischen Modul zuordnen.

Klar zu unterscheiden ist auf jeden Fall der Integrationstest, den ich in einem separaten Beitrag thematisiere. Bei einem Integrationstest konzentriert man sich auf die Wechselwirkung mit Nachbarkomponenten.

Die Erstellung solcher Tests ist in der Regel die Aufgabe eines Programmierers. Dies liegt zum einen daran, dass man ein ausgeprägtes Verständnis für die Programmiersprache in der die Anwendung geschrieben ist haben muss. Und zum anderen daran, dass man meist auch einen Testtreiber benötigt, dessen Programmierung in der Regel auch der Entwickler übernimmt.

Einordnung im Testprozess

Algorithmen auf Unitebene besitzen meist nur eine begrenzte Komplexität und man kann sie über klar definierte Schnittstellen aktivieren. Daher kann sie mit relativ wenigen Testfällen weitgehend vollständig testen. Dies gilt als Voraussetzung für die anschließende Teststufe. Dem Integrationstest, um dort die Testfälle auf das integrierte Zusammenwirken größerer Funktionsteile oder der gesamten Anwendung ausrichten zu können. Die modulspezifischen Detailkonstellationen lassen sich damit auf Stichproben beschränken, was die Anzahl der erforderlichen Testfälle signifikant reduziert.

Zum Vergleich: Ein Gerät wird erst dann als Ganzes getestet, wenn die Funktionsfähigkeit seiner Einzelteile gesichert ist.

Test des Vertrages und nicht der Algorithmen

Man testet bei Modultests gemäß dem Design-by-contract-Prinzip möglichst nicht die Interna einer Methode, sondern nur ihre externen Auswirkungen (Rückgabewerte, Ausgaben, Zustandsänderungen, Zusicherungen). Sind die internen Details der Methode geprüft (dies wird als White-Box-Testing bezeichnet), kann der Test fehlschlagen, obwohl sich die externen Auswirkungen nicht geändert haben. Daher empfiehlt man in der Regel das sogenannte Black-Box-Testing, bei dem man sich auf das Prüfen der externen Auswirkungen beschränkt.

Was sind die Vorteile von Unit Tests?

• Mittels automatisierter Unittests kann man im Schnitt 30 % der Fehler erkennen. Bei der Verwendung von TDD (Test Driven Development) kann man im Schnitt 45 % und im besten Fall 85 % der Fehler vermeiden.
• Fehler erkennt man durch Modultests bereits während der Entwicklung. Die durch Unittests vermiedenen Fehlerkosten sind daher gemäß der Rule of Ten (Dazu später mehr) um ein Vielfaches höher als bei späteren Teststufen, was Unittests zur effizientesten Teststufe machen.
• Im Falle eines Fehlers kann man diesen sehr viel genauer eingrenzen und damit schneller finden und beheben.
• Die Tests erfüllen den Zweck einer lebenden Dokumentation. In Kombination mit einer sinnvollen Benamung der Objekte (Clean Code) können zusätzliche Dokumentationsmaßnahmen entfallen.
• Da einzelne Module nur wenige mögliche Codeausführungspfade besitzen, muss man viel weniger mögliche kombinatorische Ausführungspfade berücksichtigen als bei anderen Testarten. Bei übergeordneten Tests kann man sich dann stichprobenartig auf die wichtigsten Ausführungspfade konzentrieren und damit die Anzahl dieser Tests deutlich reduzieren.
• Da man nur einzelne Module testet, kann man Modultests, oft um mehrere Größenordnungen, schneller und damit öfter (bzw. kontinuierlich) ausführen als andere Testarten.
• Wenn man Fehler mit einem Test absichert, kann man den erneuten Auftritt des gleichen Fehlers verhindern.
• Durch die Fehlerreduktion ergeben sich Geschwindigkeitsvorteile in der Entwicklung in mittleren bis großen Softwareprojekten.
• Da man Abhängigkeiten zwingend vermeiden muss, um einen Modultest zu ermöglichen, bleibt der Code verhältnismäßig schnell änderbar. Hierdurch kann man schneller auf wechselnde Anforderungen reagieren. Siehe Agile Manifest 😉
• Da automatisch ausgeführte Tests um mehrere Größenordnungen schneller sind als manuelle Tests, reduziert sich der Zeitaufwand für das Testen deutlich. Hierdurch kann man die Entwicklungsstufen schneller durchlaufen und die Release-Zyklen signifikant verkürzen.

Was sind die Nachteile von Unit Tests?

• Bei der Implementierung neuer Funktionen muss man nicht nur die Funktion implementieren, sondern auch die dazugehörenden Tests vorbereiten bzw. definieren. Dadurch ergibt sich ein oft mehrfacher Implementierungsaufwand.
• Bei Änderungen muss man nicht nur die geänderten Funktionen, sondern auch die dazugehörenden Tests anpassen. Insbesondere bei der Entwicklung von Prototypen, bei der sich die Codebasis schnell verändert, ist das Testen daher oft eher ein Hindernis.
• Da man die Funktionalität der Tests verwendet, ist in den IDEs schwerer ersichtlich, ob eine Funktionalität keine Verwendung mehr findet und ob man es daher entfernen kann.
• Weisen die Tests untereinander Abhängigkeiten auf (z. B. durch gemeinsame Testdaten), so können einzelne Änderungen an der Codebasis eine Vielzahl von Tests beeinflussen, was den Änderungsaufwand mit der Größe der Codebasis exponentiell erhöht.

Fehlerkosten 10er Regel (Rule of ten)

Die Zehnerregel der Fehlerkosten besagt, dass je weiter ein Fehler sich unentdeckt in die späten Phasen des Werdegangs eines Produktes oder Prozesses bewegt – oder gar bis zum Kunden –, desto höher steigen die Kosten zur Behebung des Fehlers. Eindrucksvoll untermauert durch die Ergebnisse einiger Studien aus den 70er Jahren in Japan, USA und Großbritannien, die sich mit den Ursachen von Produkt- bzw. Qualitätsmängeln beschäftigten. Alle Analysen lieferten nahezu die gleichen Ergebnisse: Ca. 70 % aller Produktmängel hatten ihre Ursache bereits in der Entwicklung, Konstruktion und Arbeitsvorbereitung. Der Herstellungsprozess selbst hat bezüglich der Endqualität des Produktes offensichtlich eher einen sekundären Einfluss. Eine VDMA-Studie zum Thema „Qualitätsbezogene Kosten“ Anfang der 90er Jahre in der Bundesrepublik Deutschland bestätigt dieses Ergebnis.

Die Zehnerregel der Fehlerkosten oder „Rule of ten“ sagt aus, dass sich die Fehlerkosten für einen nicht entdeckten Fehler von Stufe zu Stufe der Wertschöpfung um den Faktor 10 erhöhen. Je früher ein Fehler entdeckt und beseitigt wird, desto kostengünstiger ist dies für die Organisation und schlussendlich auch für den User bzw. Kunden.

Ansonsten sind diese auch in der DIN 55350-11 im Rahmen des Qualitätsmanagements festgehalten. Doch darauf gehe ich in einem separaten Beitrag ein.

Wo sind die Grenzen der Unit Tests?

Unit Tests können (wie jeder Test) die Fehlerfreiheit der getesteten Units, Module usw. nicht garantieren oder nachweisen, sondern lediglich unterstützen. Die Grenzen von Unit Tests liegen primär nur in den Fällen vor in denen man Fehler finden kann, zu deren Entdeckung die verwendeten Tests geeignet sind. Eine Softwarekomponente, die „grün“ testet, ist also nur bedingt fehlerfrei.

Das Merkmal von Code, „grün“ zu testen, und durchaus auch der Wunsch nach diesem Ergebnis, kann dazu führen, dass man tatsächlich (unbewusst) nur so viel testet, bis alle Tests „grün“ sind. Module, die keine fehlschlagenden Modultests haben, als fehlerfrei zu behandeln, ist ein Fehlschluss in der Praxis des (TDD) Test Driven Development.

Um eine ausreichende Testabdeckung zu erzielen, lohnt es sich u.U., vor dem Erstellen der Testfälle Refactoring-Maßnahmen anzuwenden. Dies erst nach abgeschlossenen Unit Tests (für den alten Code) zu tun, schafft Raum (wie jede Änderung im Code) für neue Fehlerrisiken und kann deshalb wiederholtes Testen erforderlich machen.

Wenn der Autor von Unit Tests mit dem Autor der Module identisch ist, können Denkfehler in der Implementierung auch im Test erscheinen und verpasst gegebenenfalls die Chance, diese aufzudecken. Wenn es sich um dieselbe Person handelt, kann man die vorrangige Entwicklung der Tests ebenfalls nicht garantieren, da sowohl die beabsichtigte Funktionsweise des Codes als auch die zukünftige Gestalt bereits im Gedankengut des Testautors und späteren Codeautors präsent sein können. Dies kann im Extreme Programming durch „Test Ping-Pong“ abgefangen werden, bei der sich Entwickler bei der Implementierung der Funktionalität und der Tests abwechseln.

Bei der Entwicklung von Modultests können Testfälle entstehen, die der Zielsetzung und dem Charakter von Modultests nicht oder nur zum Teil entsprechen. Wie bei der Programmierung existieren daher auch für die Entwicklung von Modultests Anti-Pattern, die man möglichst vermeiden sollte.

Der Beitrag Unit Tests – Fundament für stabile und effiziente Software erschien zuerst auf CEOsBay.

Kostenpunkt

Die App gibt es für 5,99 EUR im Apple App Store und für 4,99 EUR im Google Play Store.

Namensgebung Threema

Der Name ist vom Akronym EEEMA, kurz für End-to-End-Encrypting Messaging Application, abgeleitet, wobei die drei E‘s durch den Begriff „Three“ (englisch für drei) ersetzt wurden.

Anonymität

Im Gegensatz zu vielen anderen WhatsApp-Alternativen wie Signal oder Telegram muss man bei dieser App keine E-Mail-Adresse oder Telefonnummer angeben, um ein Konto zu erstellen. Dadurch kann man den Dienst mit einem relativ hohen Maß an Anonymität nutzen.

Funktionsweise von Threema

Die App verwendet eine Benutzer-ID, die nach dem Start der App durch einen Zufallsgenerator erstellt wird. Anstatt eine verknüpfte E-Mail-Adresse oder Telefonnummer zum Senden von Nachrichten zu verlangen. Es ist möglich, andere Nutzer anhand ihrer Telefonnummer oder E-Mail-Adresse zu finden. Vorausgesetzt der Nutzer der App lässt die Synchronisation des Adressbuchs zu.

Die Verknüpfung einer Telefonnummer oder E-Mail-Adresse mit einer Threema-ID ist optional. Nutzer können die Identität ihrer Threema-Kontakte verifizieren, indem sie deren QR-Code scannen, wenn sie sich physisch treffen. Der QR-Code enthält den öffentlichen Schlüssel des Nutzers, der kryptografisch an die ID gebunden ist. Dieser ändert sich für die gesamte Lebensdauer der Identität nicht.

Mit dieser Authentifizierungsfunktion können Nutzer sicherstellen, dass sie den richtigen öffentlichen Schlüssel ihrer Chatpartner haben. Dies bietet zusätzliche Sicherheit gegen Man-in-the-middle-Angriffe.

Die App kennt drei Stufen der Authentifizierung. Die Verifizierungsstufe eines jeden Kontakts wird in der App mit Punkten neben dem entsprechenden Kontakt klassifiziert.

Neben Textnachrichten können Nutzer auch Sprach- und Videoanrufe tätigen, Multimedia, Sprachnachrichten, Dateien versenden und Standorte teilen. Eine Web-App-Version kann auf Desktop-Geräten genutzt werden, solange das Smartphone mit der Threema-Installation des Nutzers online ist.

Neben Einzelchats bietet Threema auch Gruppenchats mit bis zu 256 Personen. Die Nutzer können Sprach- und Videoanrufe tätigen, Text- und Sprachnachrichten, Multimedia, Dateien jeder Art (bis zu 50 MB pro Datei) versenden Es ist auch möglich, Umfragen in persönlichen oder Gruppenchats zu erstellen.

Verschlüsselung

Das von Threema verwendete Verschlüsselungsverfahren basiert auf der Open Source-Bibliothek NaCl library. Die Anwendung verwendet eine asymmetrische ECC-basierte Verschlüsselung mit 256 Bit. Threema bietet eine „Validation Logging“-Funktion, mit der bestätigt werden kann, dass Nachrichten mit der NaCl Networking and Cryptography Library Ende-zu-Ende-verschlüsselt sind. Im August 2015 wurde Threema einer externen Sicherheitsprüfung unterzogen. Die Forscher von cnlab bestätigten, dass die Anwendung bzw. der Dienst eine sichere Ende-zu-Ende-Verschlüsselung ermöglicht, und behaupteten, sie hätten keine Schwachstellen in der Implementierung feststellen können. Die cnlab-Forscher bestätigten auch, dass App seinen Nutzern Anonymität bietet und Kontakte und andere Nutzerdaten wie beworben behandelt.

Fazit

Im Grunde genommen scheint Threema durchaus zu den sichereren Instant Messengern zu zählen. Nichtsdestotrotz hilft die sicherste Anwendung nicht, wenn das Smartphone selbst kompromittiert ist.

Der Beitrag Threema – Schützt es wirklich die Privatsphäre und Kommunikation? erschien zuerst auf CEOsBay.

Was ist Discord?

Mit Discord haben Benutzer die Möglichkeit, mit Sprachanrufen, Videoanrufen, Textnachrichten, Medien und Dateien in privaten Chats oder als Teil von Gemeinschaften, die „Server“ genannt werden, zu kommunizieren. Ein Server ist eine Sammlung von dauerhaften Chaträumen und Sprachkanälen, auf die über Einladungslinks zugegriffen werden kann. Die Anwendung läuft auf Windows, macOS, Android, iOS, iPadOS, Linux und in Webbrowsern. Es ist möglich, durch den Einsatz von Bots, wesentliche Funktionen auf diesen Servern zu administrieren und zu automatisieren.

Ein bisschen Background Information

Als Discord im Jahr 2015 auf den Markt kam, musste es sich gegen drei etablierte Apps behaupten: Skype, Slack und TeamSpeak. Alle drei taten, was sie sollten, doch waren sie nicht besonders gut darin. Dies ist wohl auch eines der Gründe, warum die Anwendung von Anfang an so viel Traffic und Zulauf erhielt. Der Andrang führte unweigerlich zu mehreren Serverabstürzen, da das Unternehmen sich schwertat, mit dem enormen Nutzerzahlen gleich zu Beginn klarzukommen.

Jason Citron, der Gründer von Discord, hatte gerade eine 100-Millionen-Dollar-Übernahme seiner vorherigen Social-Gaming-Technologie OpenFeint abgeschlossen. Er wusste, dass seine Anwendung durch einen modernen Ansatz für die Online-Kommunikation das Angebot von Skype und TeamSpeak bei weitem übertreffen konnte.

Anstatt auf Reddit oder in Foren zu suchen, konnten die Nutzer, die primär Gamer bzw. Spieler waren, einem Server beitreten, der speziell für ein bestimmtes Spiel gedacht war. Als die Server immer beliebter wurden, bekamen die Administratoren die Möglichkeit, Unterkanäle für bestimmte Themen oder Spielmodi hinzuzufügen.

Es gibt mittlerweile ca. 7 Millionen aktive Server auf Discord. Und mittlerweile kann man durchaus man sagen, dass eine nicht zu unterschätzende Zahl nicht mehr viel mit Spielen zu tun haben. Unter ihnen findet sich auch mein Unternehmens Server oder auch ein paar Server, in denen ich in Bezug auf NFTs und Krypto Teilhaber bin. Obwohl Discord nach wie vor für Gamer gedacht ist, hat das Team versucht, die Reichweite zu vergrößern, um mit Slack und Microsoft Teams zu konkurrieren. Und dies machen sie wirklich gut.

Die Möglichkeit, unmoderierte private Server zu erstellen, hat in der Vergangenheit auch für Kontroversen gesorgt. Im Jahr 2017 wurde ein Server von amerikanischen Nationalisten genutzt, um die Kundgebung in Charlottesville, Virginia, zu organisieren. Discord sperrte die Mitglieder der White-Supremacist-Gruppe und viele andere Neonazi- und Alternativ-rechte-Server und hat seitdem Verifizierungs- und Bot-Moderationstools eingeführt, um diese Art von Gruppen schneller aus dem Verkehr zu ziehen.

Wie bereits erwähnt, bot Discord zu Beginn nur Text- und Audiokommunikation. Im Jahr 2017 wurden Videoanrufe und Bildschirmfreigaben hinzugefügt. Später wurden auch Integrationen mit Twitch, Spotify und Xbox Live hinzugefügt.

Der Aufstieg von Discord kam mit dem Wachstum des E-Sports zusammen. Mit Spielen wie League of Legends, Overwatch und Fortnite, die allesamt über eher begrenzte Kommunikationstools verfügten. Als immer mehr Twitch-Streamer zu Discord wechselten, wurde dies zu einem Selbstläufer bzw. geradezu zu einer kostengünstigen Marketingkampagne für das Unternehmen.

Trotz des schnellen Wachstums, dass sich von 10 Millionen monatlich aktiven Nutzern (MAUs) im Jahr 2016 auf 45 Millionen im Jahr 2018 beschleunigte, kämpfte Discord damit, ein Einnahmemodell zu finden, dass die Erträge des Unternehmens sichern sollte. In den ersten Jahren verkaufte Discord digitale Aufkleber und Merchandise-Artikel. Aber diese Maßnahme brachte dem Unternehmen 2017 lediglich 10 Millionen US-Dollar ein.

Im Jahr 2018 wurde ein Spiele-Shop eingeführt, der eine ausgewählte Auswahl an Spielen bot. Außerdem wurde ein Abonnementdienst, Discord Nitro, eingeführt, der mehr Emojis, eine größere Uploadgröße, Serverunterstützung und Zugang zu den Videospielen im Schaufenster „Im Endeffekt Bildschirm-Sharing“ bot.

Während Discord Nitro noch immer im Einsatz ist, hat das Unternehmen die Funktion mit dem Spiele-Shop im Jahr 2019, mit der Begründung des mangelnden Interesses der Abonnenten entfernt. Seitdem hat es die Storefront auf Eis gelegt, die Discord oder den Spieleentwicklern von Drittanbietern offenbar nicht viel Geld einbrachte.

Trotz des Scheiterns der Storefront befindet sich Discord weiterhin in einer gesunden Position. Die Nutzung ist während der COVID-19-Ausgangssperre, die ja weitestgehend global realisiert wurde, sprunghaft angestiegen. Kürzlich wurden über 100 Millionen MAUs und ein neuer Höchststand von 10,6 Millionen gleichzeitig aktiven Nutzern bekannt gegeben.

Ob es in der Lage sein wird, Nutzer und Unternehmen von Slack und Microsoft Teams zu gewinnen, bleibt abzuwarten. Im März änderte es sein Motto von „Chat for Gamers“ in „Chat for Communities and Friends“ und gestaltete seine Website neu, um weniger Gamer-spezifische Inhalte zu zeigen. Kommt scheinbar im professionellen Umfeld nicht so gut an 😉

Ist Discord Open Source?

Discord ist nicht quelloffen und somit auch nicht Open Source. Obwohl es sich um einen geschlossenen Quellcode handelt, kommuniziert Discord selbst, dass sie als Unternehmen an die Open-Source-Entwicklungsprinzipien der Zusammenarbeit und der gemeinsamen Nutzung von Lösungen glauben. Es ist proprietär lizenziert, und der Source Code ist nicht frei zugänglich bzw. kann nicht modifiziert werden.

Warum ist Discord nicht Open Source?

Es ist anzunehmen, dass Discord keine Open-Source-Software ist, weil die Entwickler der App primär Geld verdienen möchten. Es erlaubt ihnen auch, die Software „begehrenswert“ zu halten. So zumindest die Aussage eines Mitarbeiters.

Da der Quellcode von Discord geschlossen ist, kann die Öffentlichkeit den Code der Discord-App nicht einsehen. Dies wirft viele Fragen darüber auf, was sich hinter dem Quellcode der Software verbirgt. Discord hat sich nicht zu den Spekulationen geäußert, warum es eine Closed-Source-Plattform ist. Die Geheimhaltung des Quellcodes kann Vorteile haben, muss es aber meiner Meinung nach nicht. Mich persönlich interessiert es, welche Daten erhoben werden.

Discord Bezahlmodell? 

Discord ist in der Standardversion kostenlos und bietet ein monatliches Abonnement mit dem Namen Discord Nitro an. Das Abonnement bietet Vorteile wie Streaming mit höherer Auflösung, das Hinzufügen von Änderungen an dem eigenen Server sowie größere Datenuploads.

Gibt es Alternativen zu Discord?

Klar gibt es Alternativen. Diese sind Mumble, Element, Tox.Chat, Jitsi, TeamSpeak und Skype.

Wobei ich persönlich, zusammen mit Discord, nur TeamSpeak, Mumble und Jitsi aktiv benutze. Evtl. werde ich auch Beiträge zu den alternativen Lösungen erstellen.

Fazit

Alles in allem finde ich persönlich Discord ok. Die Tatsache, dass der Quellcode nicht offen und somit Open Source ist, gefällt mir nicht. Auch gefällt es mir nicht, dass ich für den Einsatz von Bots extra Geld ausgeben muss, obwohl der Bot von mir persönlich entwickelt wurde und auch von mir selbst gehostet wird. Ich habe keine Ahnung, welche Daten der Kommunikation von Discord selbst erhoben werden. Wahrscheinlich sammeln sie alles.

Es gibt keinen Grund, paranoid zu sein, dennoch sollte man mit dieser Annahme gewissenhaft umgehen. Denn solange man nicht wirklich weiß, was unter der Haube läuft, kann man sich eben nicht sicher sein. Und die jüngsten Ereignisse in dem Kontext der sozialen Medien haben gezeigt, dass viel Unfug damit anstellen. Besonders fällt mir dies persönlich im Blockchain-, Krypto– und NFT-Space auf. Viele Projekte, in die ich investiert oder an denen ich beteiligt war, wurden meistens über Discord gehacked, da die Sicherheitsmaßnahmen nicht ausgefeilt genug waren.

Sicherlich gehört da auch die Gewissenhafte Verwaltung und Administration des eigenen Servers auch dazu, doch ich möchte Discord selbst mindestens genauso zur Verantwortung ziehen, da es ihre Anwendung ist, über den der Missbrauch stattfindet. Nichtsdestotrotz hat sich auch das NFT-Space mittlerweile regelrecht in Discord etabliert. Es ist abzuwarten, was Elon Musk mit Twitter anstellt. Vielleicht ergibt sich schon bald eine Alternative, die Discord zumindest im NFT-Space ablöst.

Dennoch muss ich sagen, dass ich ohne Discord wohl nicht auf grandiose Menschen gestoßen wäre, mit denen ich viel Zeit verbringe, um richtig gute Anwendungen und Lösungen zu entwickeln. Auch der Wissensgehalt, den ich mir lediglich durch die Nutzung der Plattform angeeignet habe, ist immens. Man findet halt relativ schnell Gleichgesinnte, mit einem gewissen Etwas 😉

Der Beitrag Discord – Community durch nahtlose Kommunikation und Zusammenarbeit erschien zuerst auf CEOsBay.

ProtonMail so viel anders als die anderen?

Im Gegensatz zu anderen gängigen E-Mail-Anbietern verwendet ProtonMail eine clientseitige Verschlüsselung, um E-Mail-Inhalte und Nutzerdaten zu schützen, bevor sie an die ProtonMail-Server gesendet werden. Der Dienst kann über einen Webmail-Client, das TOR-Netzwerk (Über TOR werde ich in einem zukünftigen Beitrag schreiben) oder über spezielle iOS- und Android-Apps genutzt werden und Einrichtung sowie Nutzung des Standardkontos ist kostenlos. Dennoch gibt es auch optionale kostenpflichtige Pakete, die man buchen kann.

Eine kurze Zeitreise

Proton Technologies wurde 2013 in Genf, in der Schweiz, gegründet. Anfangs war die Registrierung bzw. Mitgliedschaft nur auf Basis einer Einladung möglich. Am 16. Mai 2014 ging ProtonMail in die öffentliche Beta-Phase über. Die Resonanz war so positiv, dass nach drei Tagen die Beta-Anmeldungen vorübergehend ausgesetzt werden mussten, um die Serverkapazität zu erweitern.

Die PayPal Story

Zwei Monate später erhielt Proton Technologies über eine Crowdfunding-Kampagne auf Indiegogo ca. 550.000 US-Dollar von ca. 10.500 Spendern, obwohl das Ziel lediglich für 100.000 US-Dollar angesetzt war. Während der Kampagne wurde das PayPal-Konto von Proton Technologies von PayPal mit dem Verdacht auf die unrechtmäßige Verschlüsselung eingefroren. PayPal verhinderte die Abhebung von Spenden im Wert von ca. 250.000 US-Dollar. Nachdem die Sperre unbegründet blieb, wurden die Beschränkungen am nächsten Tag wieder aufgehoben.

Am 18. März 2015 erhielt Proton Technologies 2 Millionen US-Dollar von der gemeinnützigen Fondation Genevoise pour l’Innovation Technologique (FONGIT) und Charles River Ventures. Der 14. August 2015 war der Startschuss für ProtonMail in der Prefinal-Version 2.0.
Diese hatte eine komplett neu geschriebene Codebasis für die Webschnittstelle. Am 17. März 2016 kam die Version 3.0, die den offiziellen Start von ProtonMail aus der Betaphase heraus darstellte. Neben einer neuen GUI für den Web-Client, umfasste Version 3.0 auch den öffentlichen Start der Beta-Anwendungen für iOS und Android. Bis 2017 hatte ProtonMail in etwa 2 Millionen Nutzer.

Am 19. Januar 2017 kündigte Proton Technologies eine Tor-Seite an. Am 21. November 2017 wurde ProtonMail Contacts vorgestellt, der Kontaktmanager mit Zero-Knowledge-Verschlüsselung. ProtonMail Contacts nutzte bzw. nutzt auch digitale Signaturen, um die Integrität der Kontaktdaten zu überprüfen. Am 6. Dezember 2017 folgte die Veröffentlichung der ProtonMail Bridge. Eine Anwendung, die E2EE (Ende-zu-Ende-E-Mail-Verschlüsselung) für jeden Desktop-Client bot bzw. der IMAP und SMTP unterstützt.

Am 25. Juli 2018 führte ProtonMail die Adressverifizierung und die Unterstützung von Pretty Good Privacy (PGP) ein. Dadurch wurde ProtonMail mit anderen PGP-Clients interoperabel.

Der Quellcode für das Backend war und blieb bislang Closed Source. Den Quellcode für die Weboberfläche hat ProtonMail jedoch unter einer Open-Source-Lizenz veröffentlicht. ProtonMail hat auch seine mobilen Clients für iOS und Android, sowie die ProtonMail Bridge App als Open Source veröffentlicht. Der gesamte Quellcode ist auf GitHub zu finden. Was GitHub ist kann man in diesem Beitrag lesen.

App Fairness

Im September 2020 beteiligte sich ProtonMail an der Gründung der Coalition for App Fairness. Deren Ziel ist es, bessere Bedingungen für die Aufnahme von Apps in App Stores zu ermöglichen. Proton gründete auch die Coalition for Competitive Digital Markets. Heute zählt die Vereinigung in etwa 50 europäische Technologieunternehmen, die offene, interoperable und wettbewerbsfähige digitale Märkte unterstützen sollen.

Neues Corporate Design

Im Mai 2022 aktualisierte die Proton AG ihr gesamtes Corporate Design. Um ein einheitliches Design für ihre gesamte Software zu erreichen. Stand heute sind es ca. 70 Millionen+ Nutzer, die den Dienst nutzen bzw. vertrauen.

Fazit

Der Service von Proton ist eine durchaus gute Wahl für alle, die Wert auf Datenschutz und Privatsphäre legen. Vor allem, weil alles relativ einfach einzurichten und äußerst benutzerfreundlich aufgebaut ist. Proton Free, die kostenlose Version umfasst 1 GB Speicher und eine kostenlose Mail-Adresse, mit der 150 Nachrichten pro Tag verschickt werden können. Und für 3,99 EUR / Monat, ist man bereits mit 15 GB sowie 10 Mail-Adressen und unbegrenzten Nachrichten dabei.

Die Schwachstelle von ProtonMail ist, dass ProtonMail selbst, die Schlüssel und Software verwalten. Wenn also jemand böse Absichten pflegt, gibt es nichts, was sie daran hindert könnte, eine Version ihres Webmail-Codes zu schicken, die das Passwort für die Mailbox zurücksendet, und sobald jemand im Besitz dieses Schlüssels ist, können die PGP-Schlüssel entsperrt und verwendet werdet. Ich sage nicht, dass dies in der Vergangenheit eingetreten ist oder in der Zukunft eintreten kann. Doch genau dies ist bei einem Konkurrenz-Dienst (Hushmail), in Zusammenhang mit den US-Strafverfolgungsbehörden gemacht worden und so wurden damit zumindest Hushmail’s früheren Zusicherungen, dass ihre Lösung „sicher“ sei, zunichte gemacht.

Einen durch und durch sicheren E-Mail-Dienst zu haben, ist ein schwieriges Unterfangen. Im Grunde genommen müsste der E-Mail-Anbieter die Nutzung ausschließlich über TOR erlauben bzw. zur Verfügung stellen. Bei Google Mail muss man beispielsweise bereits die Anmeldung bzw. spätestens die Verifizierung mit einer Telefonnummer vollziehen, was durchaus eine Sicherheitslücke darstellen kann.

Und am Ende des Tages gehören zu jeder Konversation mindestens 2 Personen. Außer natürlich man ist… Das lassen wir mal lieber… 😀 Aber ja, wir haben mindestens immer zwei Enden und natürlich Metadaten, die in der Regel die IP-Adresse des Absenders, die Absenderadresse, die Empfängeradresse und die Betreffzeile enthalten. Für einen Profi lässt sich damit schon einiges anfangen. Aber um dies zu evaluieren sollte man vielleicht einen Spezialisten hinzuziehen. Ansonsten bleibt es jedem selbst überlassen, darüber zu urteilen ob und mit welchem E-Mail-Dienst man verkehren will 😀

Der Beitrag ProtonMail – E-Mail-Sicherheit neu definiert erschien zuerst auf CEOsBay.

Es verfolgt einen dezentralisierten Ansatz, basiert auf den IMAP bzw. SMTP Protokollen und ist, meiner Erfahrung nach, eines der „sichereren“ Messenger Apps, die man heutzutage nutzen kann.

Was ist IMAP?

Das Internet Message Access Protocol (IMAP), ursprünglich Interactive Mail Access Protocol, ist ein Netzwerkprotokoll, dass ein Netzwerkdateisystem für E-Mails bereitstellt.

Was ist SMTP?

Das Simple Mail Transfer Protocol (Einfaches E-Mail-Transportprotokoll), gehört zu der Internetprotokollfamilie, dass zum Austausch von E-Mails in Computernetzen dient)

Durch den Einsatz der E-Mail-Protokolle IMAP und SMTP ist Delta Chat mit jedem herkömmlichen E-Mail-Client kompatibel. Seit Veröffentlichung im Februar 2019 verzeichnet die App im Google Play Store über 100.000+ Downloads. Auch ist die App im Apple App Store verfügbar aber auf die Zahlen haben wir leider keinen Zugriff. Nachdem ein Freund mich darum gebeten hat, heute ein bisschen was über Delta Chat 😉

Wie funktioniert Delta Chat?

Wie anfangs angesprochen, werden die IMAP- und SMTP-Protokolle benutzt. Daher kommt das System ohne Registrierung bzw. Erstellung eines Kontos innerhalb des Messengers selbst und ohne eigene Server aus. Auch wird keine Telefonnummer oder der Zugriff auf das Adressbuch benötigt. Man ist bei der Verwendung nicht auf Nutzer beschränkt, die denselben Dienst verwenden. Folglich kann man damit Nutzer erreichen, die andere Chat-Clients verwenden, da das zugrundeliegende Messaging-Protokoll der offene E-Mail-Standard ist. Alles in allem sehr viel versprechend. Doch zu Beginn habe ich „sichereren“ in Anführungszeichen geschrieben. Bewusst 😉

Dies liegt aber weniger an Messenger selbst, sondern an der E-Mail-Infrastruktur bzw. den zugrundeliegenden Protokollen IMAP und SMTP. Darüber aber nachfolgend mehr.

Verschlüsselung

Bei Nachrichteninhalten wird auf Ende-zu-Ende-Verschlüsselung (E2EE) zur „sichereren“ Kommunikation gesetzt. Unter „E2EE“, versteht man die Verschlüsselung übertragener Daten, über alle Übertragungsstationen hinweg. Nur die Kommunikationspartner (Die jeweiligen Endpunkte der Kommunikation) können die Nachrichten entschlüsseln. Dazu nutzt der Messenger OpenPGP (Ein standardisiertes Datenformat für verschlüsselte und digital signierte Daten). Zertifikate definieren das Format, die als „Schlüssel“ bezeichnet werden. Autocrypt stellt eine weitere Schutzebene dar. Diese Verschlüsselung baut auf dem OpenPGP-Standard auf und ist damit kompatibel. Autocrypt ist ebenfalls eine standardisierte Richtlinie, die eine nutzerfreundliche Verschlüsselung von E-Mails und automatisierten, aber ungesicherten Austausch kryptografischer Schlüssel ermöglicht.

Bei der Verknüpfung eines E-Mail-Kontos generiert Delta Chat bei der Ersteinrichtung automatisch ein Schlüsselpaar. Auch der Import von bereits bestehenden Schlüsseln ist möglich. Mittels Autocrypt werden die öffentlichen Schlüssel anschließend zwischen den Teilnehmern ausgetauscht und ermöglichen damit eine E2EE-Kommunikation. Bei Autocrypt kann theoretisch ein nichtwohlgesonnener E-Mail-Provider diese Verschlüsselung kompromittieren, da Autocrypt grundsätzlich jeden Schlüssel akzeptiert. Dies erfolgt über „Opportunistic Security (RFC 7435)“. Dies werde ich zu einem späteren Zeitpunkt thematisieren, da es den Rahmen sprengen würde. Es ist 06:10 Uhr, Sonntag morgen 😀 – Wen es aber interessiert, kann dennoch auf den Link klicken 😉

MiTM

Auf jeden Fall können wir festhalten, dass das Potential erfolgreicher Man-in-the-Middle-Attacken minimiert wird. Bei einem Man-in-the-Middle-Angriff platziert sich der Angreifer logisch oder physisch zwischen dem Opfer und den verwendeten Ressourcen. Der Angreifer ist dadurch in der Lage, die Kommunikation abzufangen, mitzulesen oder zu manipulieren. Delta Chat erweitert den Autocrypt-Standard daher um countermitm – dadurch wird die Wahrscheinlichkeit einer erfolgreichen Man-in-the-Middle-Attacke auf verifizierte Schlüssel bzw. Kontakte minimiert.

Neben dieser „Schwäche“ kommt hinzu, dass OpenPGP keine Perfect Forward Secrecy beherrscht. (PFS – Perfect Forward Secrecy ist eine Methode für den Schlüsselaustausch kryptografischer Verfahren. Es bewerkstelligt, dass eine nachträgliche Entschlüsselung durch Bekanntwerden des Hauptschlüssels erschwert bzw. ausgeschlossen wird. Die Sitzungsschlüssel werden nicht ausgetauscht und sind nicht mehr rekonstruierbar). Die Schutzziele der „glaubhaften“ Abstreitbarkeit und Folgenlosigkeit sind daher nicht umsetzbar. Um sicher zu stellen, dass man mit seinem wahren Gegenüber kommuniziert, stellt Delta Chat eine Authentifizierung via QR-Code zur Verfügung. Dadurch wird gewährleistet, dass sich kein Dritter zwischenschaltet. Nach der Durchführung des gegenseitigen Scans des QR-Codes, werden die Nutzer als „Verifiziert“ markiert.

Wenn die Empfänger einer Nachricht auch Delta Chat nutzen, werden die Nachrichten automatisch Ende-zu-Ende-verschlüsselt und als Chatnachricht dargestellt. Allerdings erlaubt Delta Chat das Versenden von Nachrichten auch an E-Mail-Postfächer bzw. Kontakte, die kein Delta Chat verwenden. Wenn der Empfänger einen E-Mail-Client verwendet, der nicht Autocrypt-kompatibel ist, werden Nachrichten unverschlüsselt bzw. nur transportverschlüsselt gesendet bzw. empfangen. Das hat den Nachteil, dass ein E-Mail-Provider die so empfangenen / versendeten Nachrichten unter Umständen einsehen kann. Diesen Umstand sollte man unbedingt berücksichtigen bzw. bei der Nutzung von Delta Chat im Hinterkopf behalten. Welche Transportverschlüsselung zum Einsatz kommt, kann in der App eingesehen werden bzw. wird dies im Nachrichtenverlauf mit einem Schloss symbolisiert.

Dezentralisierung

Wie bereits angesprochen, verfolgt Delta Chat den Ansatz der dezentralisierten Kommunikation, da der Nachrichtenaustausch nicht über zentrale Server läuft. Delta Chat setzt auf die bestehende E-Mail-Infrastruktur auf und kann dadurch auf eigene Server verzichten. Die Nutzung von Delta Chat setzt demnach lediglich ein bestehendes E-Mail-Postfach voraus, das mit Delta Chat verknüpft werden muss. Der Nutzer ist also vollkommen frei in seiner Entscheidung, bei welchem E-Mail-Anbieter er ein Konto eröffnet. Die einzige Voraussetzung ist das IMAP-Protokoll.

Fazit

Ist man im Besitz einer E-Mail-Adresse, kann man Delta Chat ohne eine Registrierung und vor allem Serverunabhängig nutzen. Wird Delta Chat von der Gegenseite nicht genutzt, werden Nachrichten an die konventionelle E-Mail-Adresse des Empfängers gesendet. Wenn der Empfänger auch Delta Chat nutzt, bekommt man die Nachricht innerhalb der App angezeigt. Durch diesen Ansatz ist es nicht notwendig, denselben Messenger zu nutzen. Man kann Delta Chat daher auch als interoperablen Messenger nutzen.

Im Grunde genommen eignet sich Delta Chat für Personen, die ihre Telefonnummer nicht teilen wollen. Gleichzeitig kann man sich die Möglichkeit offen halten, über einen Messenger erreichbar zu sein.

Leider ist nicht sichergestellt, dass Nachrichten E2EE verschlüsselt zugestellt werden und damit für einen Angreifer einsehbar sind. Über die Metadaten können die An- und CC-Felder des E-Mail-Headers eingesehen werden. So lässt es sich relativ einfach herausfinden, wer mit wem, zu welchem Zeitpunkt kommuniziert hat. Die Interoperabilität hat durchaus seine Vorteile. Ob die Vorteile dabei die Nachteile überwiegen, darf jeder für sich selbst entscheiden. Alles in allem stellt Delta Chat eine gute Alternative als Instant Messenger dar. Selbst für meinen Geschmack, wird eine gute Portion an Mehrwert für den Dezentralisierungsgedanken leistet.

Der Beitrag Delta Chat – E-Mail neu erfunden erschien zuerst auf CEOsBay.

Ende-zu-Ende-Verschlüsselung?

Ja, da ist ein Fragezeichen hinter der Überschrift. Anders als bei den meisten Messengern, die sich derzeit im Umlauf befinden, sind Chats bei Telegram nicht automatisch Ende-zu-Ende-verschlüsselt. Es gibt zwar für alle Chats bzw. Unterhaltungen die Funktion der verschlüsselten Übertragung der Nachrichten auf den Cloud-Server, doch auf auf den Servern selbst kommt das Telegram-eigene Protokoll MTProto (Dies ist das Protokoll, welches von und für Telegram entwickelt wurde, um Nachrichten bei schwachen Mobilfunkverbindungen besser zu übertragen) zum Einsatz, dass keine Ende-zu-Ende-Verschlüsselung vorsieht.

Telegram selbst oder auch Dritte können so durchaus mit geringerem Aufwand auf die in der Cloud gespeicherten Inhalte zugreifen. Im Grunde genommen wäre die Ende-zu-Ende Verschlüsselung gegeben – Wenn da nur nicht der Server dazwischen wäre. Folglich bleibt die Verschlüsselung also nicht auf dem gesamten Übertragungsweg vom Sender zum Empfänger bestehen. Potenziell können Dritte mitlesen und Daten abgreifen. Bei Standard-Chats ließe sich vergleichsweise der Zugriff auf die Inhalte über den Sourcecode (Quellcode – Dies ist der lesbare Quell-Text eines Computerprogramms oder einer Webseite) erreichen.

Wann kommt die Ende-zu-Ende Verschlüsselung denn dann zum Einsatz?

Lediglich bei zwei Modi bzw. Arten der Kommunikation wird bei Telegram die Ende-zu Ende-Verschlüsselung gewährleistet. Zum einen bei geheimen Chats (Diese Funktion ist nur als Einzel- und nicht als Gruppenchat verfügbar) und bei Sprachanrufen. Die User müssen diese Funktionen jedoch bei geheimen Chats erst aktivieren. Und dies bei jedem einzelnen Gespräch. Für Gruppenchats ist diese Funktion, wie bereits erwähnt, überhaupt nicht verfügbar.

Welche Daten werden von Telegram beansprucht?

Neben der IP-Adresse (Internetprotokoll = individuelle Adresse, die ein Gerät im Internet oder auf einem lokalen Netzwerk identifiziert), Gerätedetails (Um welches Endgerät/Modell es sich handelt, welche Auflösung usw.), Benutzernamen und etwaige Änderungen (Ja, sämtliche Änderungen werden protokolliert), Metadaten (Sind strukturierte Daten, die übergreifende Informationen über eine Ressource beinhalten – Kurz: Die Standortdaten des Benutzers), das Telefonbuch (Wie sonst schreibt man seinen Geschäftspartnern und Freunden?) und auch sämtliche Beitritte zu Kanälen und Gruppen sind öffentlich sichtbar.

Alles in allem werden auch laut eigener Aussage von Telegram diese Informationen bis zu 12 Monate gespeichert. Wie dies möglich ist? Nun, man stimmt bei der Nutzung der App „automatisch“ den AGBs bzw. der Datenschutzvereinbarung zu 😉

In diesen steht übrigens auch drin, dass sie bei den Cloud-Chats mitlesen (Dies war die Sache mit den oben erwähnten Servern), um Spam oder andere Bedrohungen zu verhindern. Dafür werden einzelne Standard-Chats von einer Software überprüft, als potenzielle Bedrohung bzw. Spam klassifiziert und von dem ein oder anderen Moderator von Telegram manuell erneut geprüft, ob ein solcher Verdacht sich bestätigt. Ja, dies steht da wirklich drin und kann in der Datenschutzvereinbarung auch im Nachgang nochmal gelesen werden 🙂

Und um die letzten Irrglauben auch aus der Welt zu schaffen. Bei Terrorverdacht, Kindesmissbrauch und anderen Straftaten, werden Daten von Telegram auch an die Behörden weitergegeben. Das ist meines Erachtens nach an sich nichts Schlechtes. Lediglich ist es so, dass die in der jüngsten Zeit immer mehr aufkommenden hetzenden Gruppen eher schlecht als recht moderiert bzw. ausgeschalten werden. Dies finde ich persönlich äußerst bedenklich. Die Beurteilung darüber, ob Telegram nun wirklich sicher ist? Nun, diese Entscheidung ist jedem selbst überlassen. Die hier vermittelten Informationen sollten einen groben Überblick darüber gegeben haben, wie Telegram mit der Sicherheit bzw. dem Datenschutz umgeht.

Der Beitrag Telegram – „Verschlüsselte“ Nachrichten App für eine sichere Kommunikation? erschien zuerst auf CEOsBay.