Category Archives: Sicherheit

Anwender hilflos

Unsichere Provider – Anwender hilflos gegen Milliarden-fachen Passwort-Diebstahl” (gi.de)

Der milliardenfache Diebstahl von Benutzerkennungen im Internet hat die Öffentlichkeit aufgeschreckt und eine Diskussion über Verantwortung entfacht.

“entfacht” hört sich nach lodern, brennen an — ich sehe da nichts, nicht einmal Rauch, außer, die “Qualitätsjournalisten” die ihr Sommerloch füllen wollen. Otto Normal hat dies Thema bereits abgehakt, da er sich dagegen eh kaum wehren kann. Alle paar Monate heißt es “Passwort ändern! Sofort!” — dies stumpft den Anwender ab.

Da sich der Benutzer von einem derartigen Diebstahl nicht schützen kann, müssen hier die Betreiber von Servern und Webseiten in die Verantwortung genommen werden.

Muss man Offensichtliches fordern?

Hacker brauchen nur zu prüfen, ob und welche Sicherheitslücken auf den Servern und Webseiten existieren.

“nur zu prüfen” ist nicht so einfach wie es sich anhört. Ein krimineller Hacker hat theoretisch unbegrenzt viel Zeit, um Schwachstellen zu identifizieren, bei einem Penntest durch einen beauftragten Dienstleister ist dies nicht so, irgendwann muss er den Check abschließen.

Eine Schwachstelle muss auch als solche erkannt werden. Wenn z.B. ein Film in die eigene Website eingebunden wird und abspielbar ist, kommt oft ein Player in Form eines Scriptes zum Einsatz. Wenn dieses Script auch Filme aus externen/fremden Seiten erfolgreich einbindet und abspielt, so kann ein falscher Eindruck entstehen — wenn auf einer “seriösen” Seite plötzlich Pron zu sehen ist.

Ausdrücklich weist der Arbeitskreis aber auf die vielen anderen Angriffe hin, gegen die sich der Anwender selbst schützen kann: durch Nutzung eines möglichst langen, nicht aus dem persönlichen Bereich stammenden, ‚künstlichen‘ Passworts (alphabetische Zeichen, Ziffern, Sonderzeichen), das auch angemessen häufig gewechselt wird.

Als Besucher und Nutzer einer Seite kann man nicht wissen, wie der Seitenbetreiber beispielsweise Passworte in der Datenbank speichert. Nur ein gutes Passwort gibt noch keinen absoluten Schutz. Ja, es ist sicherer Ö[/WM7#K8OFB1`S6>qrRiGc als Passwort zu wählen, anstatt 123456 oder lassmichrein. Allerdings hilft das beste Passwort nichts, wenn der Seitenbetreiber schlampt und dieses im Klartext in der Datenbank speichert. Unrealistisch? Nein! Wer als Penntester arbeitet der sieht dies — ich will nicht sagen täglich, aber doch zu häufig. Beim ersten Mal zweifelt man an der eigenen Wahrnehmung und glaubt, durch ein Zeitloch in das vorige Jahrhundert gefallen zu sein. Es gibt auch Spezialexperten die es per Base64 “verschlüsseln”, was eine etwas andere Form von S2xhcnRleHRwYXNzd29ydA== ist.

Das einfache Hashen per MD5 oder SHA1, ohne, zu kurzem oder für alle Passworte gleichem Salt, halte ich schon für eine gravierende Schwachstelle. Auch schwache Passworte können so gehasht werden, dass selbst nach einem Einbruch und dem Kopieren der Datenbank, kein Passwort aus dem jeweiligen Hash gewonnen werden kann.

Wer das Hashen richtig macht, der muss natürlich auch den direkten Angriff auf das Login verhindern. Ein effektiver Schutz gegen Brute-Force-Angriffe auf das Login beginnt bereits bei dem Schutz registrierte Benutzernamen (meist die E-Mail-Adresse) zu finden. Weder das Login noch die Passwort-Erinnerung darf Hinweise auf registrierte Benutzernamen zurückmelden. Auch die Registrierung kann so geschützt werden, dass Brute-Force-Angriffe zum enumerieren von bereits registrierten Benutzernamen, stark erschwert, wenn nicht gar unmöglich gemacht wird. Dieser Schutz setzt schon weit vor der Vergabe eines Passwortes durch den Benutzer an.

Stand der Technik ist die Verschlüsselung aller wichtigen Daten – auf jeden Fall der Passwörter; diese Erfordernis ist seit dem Sony Play Station Hack im April 2011 weltweit bekannt.

Passworte werden (hoffentlich!) gehasht, aber kaum verschlüsselt — dies nur als Korinthe am Rande. ;O) An dem Sony-Hack hat man aber auch gesehen, dass die Verärgerung der Kunden eher durch das vorübergehende Abschalten der Server entstand, weshalb das Spielen für einige Wochen nicht mehr möglich war, aber nicht dadurch, dass Angreifer auf persönliche Daten Zugriff hatten. Die Benutzerzahlen sind nach dem Hack sogar nach oben gegangen!


Dem eigentlichen Problem wird man nur Herr werden, wenn der Anwender eine Handhabe bekommt, gegen Provider und Seitenbetreiber rechtlich vorzugehen. Erst wenn es finanzielle Konsequenzen nach sich zieht, wird gehandelt — Selbstverpflichtungen und Versprechen werden kaum zu konkreten Ergebnissen führen.

Die Wirtschaft jammert bereits wenn der Bund eine Meldepflicht für Betreiber von kritischer Infrastruktur ins Gespräch bringt, anstatt dies als Anlass zu nehmen, dafür zu sorgen, dass es gar keinen Grund gibt etwas zu melden. Jahrzehnte lang wurde kaum in die IT-Sicherheit investiert, da ist es verständlich, dass von eben auf gleich, keine echte Verbesserung möglich ist, ohne viel Geld, sehr viel Geld, in die Hand zu nehmen.

BITKOM zum Passwortdiebstahl” (bitkom.org)

- Betroffene Internetnutzer müssen informiert werden
- Tipps zum richtigen Umgang mit Passwörtern

Der Hightech-Verband BITKOM fordert
(…)
„Jeder Internetnutzer muss umgehend erfahren können, ob seine Daten von dem Diebstahl betroffen sind“
(…)
„Dieser Fall zeigt: Die Politik muss den Kampf gegen die Organisierte Kriminalität im Internet deutlich verstärken“, so Rohleder. „Das bedeutet auch, dass die dafür notwendigen Mittel bereitgestellt werden müssen. Datenschutz und Sicherheit gibt es nicht zum Nulltarif.“

BITKOM rät zudem jedem Internetnutzer, einige grundsätzliche Regeln für seine Passwörter zu beherzigen.
(…)

Als Vertreter von “2.200 Unternehmen der digitalen Wirtschaft” ist es nicht verwunderlich, dass die Opfer aufgefordert werden zu handeln, nämlich sichere Passworte zu wählen. Und natürlich soll der Bund mehr Geld für “den Kampf gegen die Organisierte Kriminalität im Internet” ausgeben. Aber kein Wort an die eigentlichen Schuldigen, für den “Passwortdiebstahl” — die Seitenbetreiber. Aus Sicht des BITKOM können Unternehmen wahrscheinlich immer nur die wahren Opfer sein, entweder von Hackern oder vom Bund, der Meldepflichten für IT-Sicherheitsvorfälle gesetzlich vorschreiben möchte. >>>
Geplantes IT-Sicherheitsgesetz wird für die Wirtschaft teuer” (bitkom.org)

Heartbleed vs. Datenschutz

Vor einigen Wochen habe ich alle Landesdatenschutzbeauftragte angeschrieben und gefragt, ob sie etwas gegen Heartbleed unternehmen möchten. Bisher habe ich von elf dreizehn Landesbehörden eine Antwort erhalten. Sieben Zehn von ihnen wollen Hinweise zu Seiten die den Heartbleed-Bug enthalten annehmen. Einer hat aus “Kapazitätsgründen” ganz klar abgelehnt, und ein weiterer sieht “im Zweifel keine Möglichkeit, sämtliche in xyz sitzenden Seitenbetreiber konstant hinsichtlich aller Sicherheitslücken zu überwachen”. Zwei Landesbehörden haben mir per Snailmail (!) nur den Eingang meiner E-Mail bestätigt. (Kann es sein, dass dort die E-Mails ausgedruckt und an Mitarbeiter zur Bearbeitung verteilt werden?)

Ja, liebe Datenschützer, ich bin diese Nervensäge! :O)


Einer der Landesdatenschützer antwortete mir u.a. folgendes:

Auf der Hand liegt ein Verstoß gegen § 9 Bundesdatenschutzgesetz (BDSG) bei Unternehmen…

Da ich nun kein Leser von Gesetzen bin, war mir diese mögliche Handhabe unbekannt. Der § im BDSG besagt:

§ 9 Technische und organisatorische Maßnahmen
Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.

Quelle: http://www.gesetze-im-internet.de/bdsg_1990/__9.html

Aus der Anlage dazu:

4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle)

Quelle: http://www.gesetze-im-internet.de/bdsg_1990/anlage_79.html

Per Heartbleed ist es möglich, bei der Übertragung unbefugt Daten zu lesen — hierzu gibt es keine zwei Meinungen — also sind die Datenschützer zuständig?!


Dem zweiten Landesdatenschutzbeauftragten, der mir geantwortet hatte, nannte ich insgesamt sechs Seiten. In der ersten E-Mail eine Seite und, nachdem er mir signalisierte weitere entgegennehmen zu wollen, fünf weitere. Der erste Seitenbetreiber behob das Problem innerhalb von 24 Stunden. Die anderen fünf Seiten bieten das Heartbleed-Feature weiterhin an. Ob dieser Datenschützer in den vergangenen drei Wochen noch keine Zeit hatte die Seitenbetreiber zu kontaktieren oder ob diese einfach nicht reagierten, weiß ich nicht.

Keine der Seiten, bis auf die eine, haben Heartbleed gefixt.


Eines kann ich bereits jetzt feststellen: Es ist sehr sehr langwierig mit den Landesdatenschutzbeauftragten zu kommunizieren. Bei einem hat es geschlagene sechs Wochen gedauert, bis ich nach der ersten Bestätigungs-E-Mail über den Empfang meiner E-Mail, eine Antwort erhielt.

Nachdem was im BDSG steht, wären, meiner unjuristischen Meinung nach, die Datenschützer zuständig, wenn Heartbleed nicht gefixt wurde. Aber es scheint so zu sein, dass niemand dem § 9 und der Punkte in der Anlage darin folgen möchte. Wahrscheinlich sehen die Datenschützer ein Problem auf sich zukommen, wenn sie nun Verstöße bezüglich Heartbleed ahnden würden, denn auch SQL-Injection könnte man unter § 9 betrachten und so viele andere Sicherheitslücken. Da die Landesbehörden schon ein Kapazitätsproblem haben, überhaupt auf eine E-Mail zu antworten, würde wohl der Betrieb gänzlich zum Erliegen kommen, wenn alleine nur ich, alle mir bekannten Schwachstellen anzeigen würde.


Ok, ich gebe es zu, ich hatte versucht über Heartbleed Verbündete zu finden, um gegen Seitenbetreiber vorgehen zu können, die einfach unwillig sind, ihre Besucher zu schützen. Einen Versuch war es wert. :O|