Archiv für die Kategorie » Politik «

NSA: Wir schauen nicht in Open Source rein, wirklich nicht! Würde ein Geheimdienst lügen?

Sonntag, 13. April 2014, 14:45 Uhr | Autor:

NSA will nichts von “Heartbleed”-Lücke gewusst haben” (heise.de)

Die US-Regierung hat einen Medienbericht dementiert, wonach der Geheimdienst NSA die jüngst öffentlich gewordene massive Sicherheitslücke im Internet seit langem gekannt und ausgenutzt habe.

Verschlüsselung funktioniert weiterhin, sofern sie richtig implementiert ist. Ein Geheimdienst wie die NSA hat damit natürlich Probleme. OpenSSL ist weit verbreitet und Open Source, also bietet es sich an, darin nach Sicherheitslücken zu suchen. Die NSA ist wahrscheinlich eine der wenigen Stellen die sich offenen Quellcode eingehend ansieht. Vielleicht nicht von jedem Plugin für irgendein CMS, aber die Software die für die Informationsgewinnung relevant ist ist auf deren Liste. Es ist naiv zu glauben, die NSA würde solch eine offensichtliche Möglichkeit nicht nutzen. Das Dementi kam auch recht schnell. Bei einer Behörde mit mehreren zehntausend Mitarbeitern und x Abteilung, würde eine echte interne Recherche wohl etwas mehr als drei Tage dauern.


Dass die NSA auch verschlüsselte Daten speichern, um diese später zu entschlüsseln, ist kein Geheimnis.

Keys auslesen ist einfacher als gedacht” (golem.de)

Zwei Personen ist es gelungen, private Schlüssel mit Hilfe des Heartbleed-Bugs aus einem Nginx-Testserver auszulesen. Der Server gehört der Firma Cloudflare, die mit einem Wettbewerb sicherstellen wollte, dass das Auslesen privater Schlüssel unmöglich ist.



Ein Geheimdienst würde sich niemals vorsätzlich der Möglichkeit berauben eine Verschlüsselung aufzubrechen, zumal wenn man ihn für den Bug nicht verantwortlich machen kann. Es gibt zwar sehr dumme Verschwörungstheoretiker die eine Hexenjagd auf den deutschen Programmierer veranstalten, aber einen echten Zusammenhang zwischen ihm und der NSA ist nicht herstellbar. Bei dem Zufallszahlengenerator, der Backdoor darin und RSA, sah dies etwas anders aus: “Mehr Details zur Hintertür im Zufallszahlengenerator Dual EC DRBG” (heise.de)

Das die NSA viele Mio. Menschen vorsätzlich dem Treiben von Kriminellen ausgeliefert hat, ist im höchsten Maße verwerflich und müsste Konsequenzen haben. “müsste” weil mir klar ist, dass die Politik nicht den Mut dazu haben wird.

Thema: Open Source, Politik, Sicherheit | Beitrag kommentieren

Justizminister will MD5 per Gesetz verbieten

Samstag, 5. April 2014, 14:29 Uhr | Autor:

Und wieder sind Millionen von Menschen nicht per E-Mail zu erreichen…

Hacker haben 18 Millionen Email-Accounts gestohlen” (pcwelt.de)

In einem von der Staatsanwaltschaft Verden aufgespürten Datensatz finden sich 18 Millionen E-Mail-Adressen mit den zugehörigen Passwörtern.

Passwörter für 18 Millionen Mail-Adressen gestohlen” (heute.de)

Deutsche Ermittler haben erneut Millionen gestohlener E-Mail-Adressen inklusive Passwörter entdeckt.

18 Millionen E-Mail-Passwörter gestohlen” (tagesspiegel.de)

Ein Sprecher der Staatsanwaltschaft Verden in Niedersachen erklärte dem Tagesspiegel, dass 18 Millionen Mail-Adressen mit entsprechenden Zugangsdaten gestohlen und von den Ermittlungsbehörden sichergestellt wurden.

Wahrscheinlich der gleiche Sprecher sagte der Tagesschau aber etwas anderes:
18 Millionen Mail-Konten gefährdet” (tagesschau.de)

Unklar ist, ob tatsächlich E-Mail-Provider gehackt wurden. Es ist auch denkbar, dass die Datensätze aus anderen Quellen – beispielsweise Anmeldungen für Shoppingportale – stammen.


Die Faktenlage ist wieder sehr dünn. Der Spiegel hat sich da mal wieder etwas zusammengereimt, um Aufmerksamkeit zu bekommen und viele andere Medien reiten auf der Welle mit.

Erst einmal muss geklärt werden, welchen Datenschatz die Staatsanwaltschaft Verden hat. Zur Zeit wird vielfach kolportiert (weil abgeschrieben vom Spiegel), dass es sich um die Zugangsdaten für die E-Mail-Accounts handelt.

Cyberkriminalität: Fahnder entdecken 18 Millionen gestohlene E-Mail-Passwörter” (spiegel.de)

Kriminelle haben erneut in großem Stil Zugangsdaten für E-Mail-Konten entwendet.

Aber die Staatsanwaltschaft Verden weiß nicht woher die Daten stammen, genauso wie bei den 16 Mio. vom Januar, bzw. ursprünglich vom August 2013.


Da die Medien nun den Minister für Verbraucherschutz bedrängen, sah er sich wohl gezwungen etwas zu sagen.

Millionenfacher Datenklau: Minister Maas nimmt digitale Dienstleister in die Pflicht” (spiegel.de)

“Die Verbraucher haben ein Anrecht darauf, dass ihre Daten und Passwörter bei digitalen Dienstleistern so sicher wie möglich sind”

Als Bundesminister der Justiz und für Verbraucherschutz weiß Herr Maas, dass es eben kein Recht, per Gesetz, auf Verschlüsselung von Daten und Passwörter gibt, weshalb er auch das Wort “Anrecht” verwendet. Gäbe es so ein gesetzlich festgeschriebenes Recht, so könnte zum Beispiel die De-Mail nur mit Ende-zu-Ende-Verschlüsselung angeboten werden.

“Dass jetzt zum wiederholten Mal innerhalb weniger Monate millionenfach Nutzerdaten abgefischt werden, zeigt, wie wichtig das Thema der Datensicherheit ist.”

Nur weil die Staatsanwaltschaft Verden wieder auf einen Datensatz (spiegel.de) — ja wirklich EINER <ROFL> — gestoßen ist, bedeutet dies nicht, dass die Kriminellen nicht 24 Stunden am Tag, 7 Tage die Woche, 4,3 Wochen im Monat,… auf den verschiedensten Wegen Benutzerdaten abfangen und für die spätere Verwendung speichern.

“Angesichts der bekannten Fälle sind jetzt auch die Internetanbieter in der Pflicht, mehr zum Schutz der Passwortdaten und persönlicher Daten ihrer Kunden zu tun.”

Wer sind denn die Internetanbieter? Die Firmen die den Zugang z.B. per DSL zum Internet bereitstellen? Was kann denn die Telekom dafür wenn ihr Kunde in einem x-beliebigen Forum 123456 als Passwort verwendet?

Das liege auch in ihrem eigenen Interesse, so Maas: “Ein Anbieter, bei dem die Kundendaten unsicher sind, wird auch bei den Verbrauchern kein Vertrauen finden.”

Ein Schenkelklopfer jagt den nächsten. Ich weiß, es ist schon ein paar Tage her, aber das Beispiel SONY passt weiterhin. Nach den ersten 100 Mio. geleakten Kundendaten gab es von den Kunden nur Beschwerden darüber, dass das Playstation Network abgeschaltet wurde und darüber, dass sie ihr vielfach verwendetes Passwort auch bei all den anderen Diensten ändern sollten.

Die Bekämpfung des Datenmissbrauchs müsse “für Dienstleister, Kunden und Politik ein gemeinsames Anliegen sein”

Alle haben sie verschiedene Interessen, also haben sie kein gemeinsames Anliegen.

  • Dienstleister, egal welche, wollen einfach nur Geld verdienen, mit Selbstverpflichtungen wird man da nicht weiter kommen.
  • Die meisten Kunden wollen es möglichst bequem haben. Zwingt ein Anbieter seine Kunden bereits bei der Registrierung zu sicheren Passworten, so muss er sich darauf einstellen, dass der Kunde einen anderen Anbieter wählt.
  • Die Politik hat vielleicht ein Interesse zur Bekämpfung, allerdings stehen ihr dabei die Dienstleister im Wege, die ob der hohen Kosten jammern und die Gefährdung des Wirtschaftsstandortes Deutschland beklagen androhen.

Ohne eine gesicherte Faktenlage sollte sich kein Minister von den Medien zu einer Erklärung treiben lassen — aber dies werden Politiker wohl nie lernen.


Die eigentlichen Probleme kann man nur langfristig lösen, was Politikern eher schwer fällt, weil sie meist in 4- oder 5-Jahres-Zyklen denken.

Die weit verbreiteten Hashfunktion MD5 und SHA-1, für die Verifikation von Passworten, müssen durch mindestens bcrypt ersetzt werden.

Verbraucher müssen lernen, dass ein Passwort mindestens 12 Zeichen lang ist, große und kleine Buchstaben, Ziffern und Sonderzeichen enthält.

Thema: Politik, Sicherheit | Kommentare geschlossen