Wichtige Information zu Heartbleed

Liebe FundraisingBox-Nutzer,

am Montag haben Sicherheitsexperten eine schwerwiegende SSL-Sicherheitslücke in der Krypto-Bibliothek OpenSSL entdeckt. Bei den betroffenen Webservern besteht die Möglichkeit, private SSL-Schlüssel aus dem Hauptspeicher eines Servers auszulesen, mit denen dann der komplette SSL-Traffic aller Nutzer entschlüsselt werden kann.

Diese Krypto-Bibliothek wird von den meisten Internet-Webservern verwendet, die ihren Datenverkehr aus Sicherheitsgründen per HTTPS verschlüsseln. Die Entwickler von OpenSSL haben inzwischen ein Update ihrer Software zum Download bereitgestellt, die diese Lücke schließt.

Alle Nutzer möchten wir auf diesem Wege beruhigen: Das Team der FundraisingBox hat umgehend auf allen Servern die “gesicherte” OpenSSL Version installiert, so dass nach aktuellem Wissensstand, keine Gefahr besteht. Falls neue Informationen zu diesem Thema öffentlich werden, reagieren wir im Hintergrund umgehend auf diese Erkenntnisse.

Hier können Sie auch das entsprechende Testat von SSLLabs einsehen.

ssllabs_secure_fundraisingbox_com

Hier noch ein paar weiterführende Links:

 

Wir hoffen, wir haben Ihre Fragen bzgl. Heartbleed (CVE-2014-0160) klären können und stehen Ihnen natürlich gerne für weitere Rückfragen zur Verfügung.

Viele Grüße,

Ihr FundraisingBox Team

 

Update 11.04.2014 15 Uhr

Als Vorsichtsmaßnahme haben wir neue Schlüssel-Paare für die SSL-Zertifikate generiert. Diese wurden heute von der SSL-Zertifizierungsstelle beglaubigt und soeben auf den Servern installiert. Technisch gesehen hat dies keinen Einfluss auf die Nutzung Ihrer FundraisingBox.

Um für Ihren FundraisingBox-Account jegliches Risiko gänzlich auszuschließen, möchten wir Sie bitten, Ihr verwendetes FundraisingBox-Kennwort zu ändern. Wie das geht, erfahren Sie auch in unserem Hilfe-Center-Artikel.

Den Zugang zu Ihrer FundraisingBox finden Sie, wie gewohnt, unter secure.fundraisingbox.com

 

FundraisingBox unterstützt jetzt Zwei-Faktor-Authentifizierung

Heute ist eine Erweiterung zum Thema Sicherheit veröffentlicht worden.

Die FundraisingBox unterstützt jetzt eine Zwei-Faktor-Authentifizierung mittels des sogenannten Yubikeys. Der Yubikey ist ein einzigartiger Chip-Schlüssel, der per USB-Schnittstelle an jeden PC/Laptop angeschlossen werden kann. Da er ohne Treiber auskommt, werden alle Betriebssysteme zuverlässig unterstützt.

FundraisingBox_Yubico-Erweiterung

Mit dem YubikeyKey erhalten Sie zwei sehr sinnvolle Sicherheitsfunktionen:

(1)  Zwei-Faktor-Authentifizierung

Der YubiKey ergänzt Ihre FundraisingBox um eine zweite Sicherheitsebene. Wenn Sie die Yubikey-Erweiterung aktivieren, müssen Sie und Ihre Nutzer zusätzlich zu Ihrem üblichen Benutzernamen und Passwort ein sogenanntes OTP (One-Time-Passwort) eingeben, bevor Ihnen der Zugriff auf Ihre FundraisingBox gewährt wird. Das OTP erhalten Sie , indem Sie den Yubikey mit dem Finger kurz (1 Sekunde) berühren. Dann wird das Einmal-Passwort automatisch generiert, eingegeben und bestätigt.

FundraisingBox_Yubico-Login

Nur wenn das Einmal-Passwort gültig ist, erhalten Sie Zugang zu Ihrer FundraisingBox. Sobald das Einmal-Passwort einmal verwendet wurde, verliert es sofort seine Gültigkeit. Das heißt wird das OTP von irgendeinem Dritten abgefangen, kann er damit nichts anfangen. Sie kennen das Prinzip vielleicht bereits von Ihrer TAN-Liste bei der Bank. Hier ist auch jede TAN nur einmal gültig.

Das heißt kein Dritter kann sich ohne Ihren Yubikey in Ihre Fundraising einloggen – selbst wenn er Ihre Zugangsdaten besitzt.  Und falls Sie Ihren Yubikey verlieren, kann kein Dritter etwas damit anfangen, da er erstens keine Rückschlüsse zu seinem Einsatz-Ort, der FundraisingBox, preisgibt und der Dritte auch nicht Ihre Zugangsdaten kennt.

Aber der Yubikey kann noch mehr:

(2) Härtung Ihres Passworts

Das Herausforderung bei Passwörtern ist ja, das sie kompliziert sein und eine gewisse Länge aufweisen sollen.  Auf der anderen Seite sollen sie leicht zu merken sein. Es ist bestimmt sinnvoll mit Merksätzen zu arbeiten, wie “Mein 1. Auto war ein Opel Baujahr 92 für 200 Euro” ergibt z.B. “M1AweOB92f200€”

Ab einer gewissen Zeichenlänge wird es aber einfach unhandlich so ein Passwort einzutippen. Der Yubikey löst dieses Problem, denn er hat noch eine andere optionale Funktion: das statische Passwort.

Für den Yubikey ist eine kostenlose Software auf der Herstellerseite yubico.com verfügbar, mit der Sie dem Yubikey auch ein festes Passwort beibringen können. Zum Beispiel “2A378sd!g23934§hJ8f?Ws”.

Dann können Sie z.B. die FundraisingBox oder auch andere wichtige Passwörter einfach härten, indem Sie Ihr bestehendes Passwort (z.B. “M1AweOB92f200€”) mit dem statischen Passwort vom Yubikey anreichern. Einfach Finger 3 Sekunden auf dem Yubikey halten und schon ergänzt er Ihr bestehendes Passwort, so dass  “M1AweOB92f200€2A378sd!g23934§hJ8f?Ws” als Ergebnis entsteht. Und das ist schon ein sehr mächtiges Passwort!

Das heißt Sie müssen sich weiterhin nur Ihr bestehendes Passwort merken und durch den Yubikey härten lassen. Trotzdem laufen Sie nicht Gefahr, dass wenn Sie den Yubikey verlieren, irgend jemand etwas mit diesem anfangen kann.

Wo bekommt man den Yubikey?

Der YubiKey kann exklusiv über unseren Sicherheits-Partner MTRIX GmbH bezogen werden.

 

Deutscher Fundraising-Kongress 2014

Zum 21. Mal findet ab morgen der Deutsche Fundraising-Kongress statt. Im Convention Center des andel’s Hotel in Berlin werden vom 2. – 4. April 2014 über 800 Teilnehmerinnen und Teilnehmer erwartet.

 

FundraisingBox_Workshop_FRKongressBerlin_2014Das Schwerpunktthema in diesem Jahr lautet: Neue Wege – Neue Mittel. Diesem schließen wir uns gerne an, u. a. mit dem WorkshopOnline Spenden / Der Bottleneck der Non-Profit Webseiten” , den Thomas Stolze gemeinsam mit Michael Gotzen (action medeor e. V.) am Freitag um 10 Uhr halten wird. Anhand vieler praktischer Beispiele soll das Publikum im Workshop erfahren, worauf es bei einer Webseite ankommt, damit sie ihrem Zweck wie u. a. erfolgreiche Online-Spenden zu generieren, gerecht werden kann.

 

Auf spannende Kongresstage und einen guten Austausch: Christian Kaiser und Thomas Stolze freuen sich auch auf Ihren Besuch an unserem Stand!

ChristianKaiser_ThomasStolze

 

 

Fundraising-Trends.de startet

technology_trends
Wir haben unser News- und Informationssystem optimiert. Um neben reinen FundraisingBox-Produkt-News auch besser über andere spannende Trends im Fundraising schreiben zu können, haben wir Fundraising-Trends.de ins Leben gerufen:

Fundraising-Trends.de ist der Technologie-Blog für Fundraiser und IT-Verantwortliche im Non-Profit-Sektor.

Dabei widmen wir uns folgenden Themen:

  • Social Media
  • CMS
  • Payment
  • Mobile
  • CRM
  • E-Mail
  • Projekt-Management

Gastautoren sind natürlich herzlich willkommen, d.h. falls Sie ein spannendes Thema haben, das Sie hier gerne behandeln würden, dann melden Sie sich bei uns! Alles wichtige haben wir in einer separaten Gast-Autoren-Seite zussammengefasst.

Um über neue Artikel auf dem Laufenden zu bleiben, können Sie den Blog zum Beispiel per RSS im News-Aggrator Feedly oder per E-Mail über Blogtrottr abonnieren.
Hier gehts zum RSS-Stream.

 

Verbesserter Button-Generator

Kennen Sie schon den Spendenbutton-Generator Ihrer FundraisingBox? Mit diesem können Sie schnell und einfach attraktive Verlinkungen zu Ihrem Spendenformular generieren und Felder wie Betrag, Rhythmus und Projekt bereits für Ihre Spender vorausfüllen. Dabei können Sie entscheiden ob die Felder fix vorausgefüllt sein sollen oder ob die Spender diese noch verändern können, z.B. um einen höheren Betrag einzutragen. So können Sie z.B. für ein bestimmtes Projekt um Spenden werben und mit Hilfe eines erstellten Spenden-Buttons die Interessenten auf Ihr Spendenformular führen, in dem das Projekt dann bereits vorausgewählt ist.

Die Buttons und Widgets können natürlich auch auf externen Unterstützer-Seiten eingebunden werden. Für solche Fälle können Sie festlegen, dass Ihre Spendenformular-Seite in einem neuen Fenster geöffnet werden soll, damit die ursprüngliche Seite parallel offen bleibt.

FundraisingBox_Button_Generator

Mit dem Generator können Sie auch Farbe, Button-Text und Schriftgröße einstellen, aber wussten Sie, dass Sie die Posten-Widgets auch nach Ihren Wünschen komplett umstylen können? In unserem Hilfe-Center (http://support.fundraisingbox.com/article/243.html) finden Sie dazu genauere Informationen.