Category Archives: Wirtschaft

Anwender hilflos

Unsichere Provider – Anwender hilflos gegen Milliarden-fachen Passwort-Diebstahl” (gi.de)

Der milliardenfache Diebstahl von Benutzerkennungen im Internet hat die Öffentlichkeit aufgeschreckt und eine Diskussion über Verantwortung entfacht.

“entfacht” hört sich nach lodern, brennen an — ich sehe da nichts, nicht einmal Rauch, außer, die “Qualitätsjournalisten” die ihr Sommerloch füllen wollen. Otto Normal hat dies Thema bereits abgehakt, da er sich dagegen eh kaum wehren kann. Alle paar Monate heißt es “Passwort ändern! Sofort!” — dies stumpft den Anwender ab.

Da sich der Benutzer von einem derartigen Diebstahl nicht schützen kann, müssen hier die Betreiber von Servern und Webseiten in die Verantwortung genommen werden.

Muss man Offensichtliches fordern?

Hacker brauchen nur zu prüfen, ob und welche Sicherheitslücken auf den Servern und Webseiten existieren.

“nur zu prüfen” ist nicht so einfach wie es sich anhört. Ein krimineller Hacker hat theoretisch unbegrenzt viel Zeit, um Schwachstellen zu identifizieren, bei einem Penntest durch einen beauftragten Dienstleister ist dies nicht so, irgendwann muss er den Check abschließen.

Eine Schwachstelle muss auch als solche erkannt werden. Wenn z.B. ein Film in die eigene Website eingebunden wird und abspielbar ist, kommt oft ein Player in Form eines Scriptes zum Einsatz. Wenn dieses Script auch Filme aus externen/fremden Seiten erfolgreich einbindet und abspielt, so kann ein falscher Eindruck entstehen — wenn auf einer “seriösen” Seite plötzlich Pron zu sehen ist.

Ausdrücklich weist der Arbeitskreis aber auf die vielen anderen Angriffe hin, gegen die sich der Anwender selbst schützen kann: durch Nutzung eines möglichst langen, nicht aus dem persönlichen Bereich stammenden, ‚künstlichen‘ Passworts (alphabetische Zeichen, Ziffern, Sonderzeichen), das auch angemessen häufig gewechselt wird.

Als Besucher und Nutzer einer Seite kann man nicht wissen, wie der Seitenbetreiber beispielsweise Passworte in der Datenbank speichert. Nur ein gutes Passwort gibt noch keinen absoluten Schutz. Ja, es ist sicherer Ö[/WM7#K8OFB1`S6>qrRiGc als Passwort zu wählen, anstatt 123456 oder lassmichrein. Allerdings hilft das beste Passwort nichts, wenn der Seitenbetreiber schlampt und dieses im Klartext in der Datenbank speichert. Unrealistisch? Nein! Wer als Penntester arbeitet der sieht dies — ich will nicht sagen täglich, aber doch zu häufig. Beim ersten Mal zweifelt man an der eigenen Wahrnehmung und glaubt, durch ein Zeitloch in das vorige Jahrhundert gefallen zu sein. Es gibt auch Spezialexperten die es per Base64 “verschlüsseln”, was eine etwas andere Form von S2xhcnRleHRwYXNzd29ydA== ist.

Das einfache Hashen per MD5 oder SHA1, ohne, zu kurzem oder für alle Passworte gleichem Salt, halte ich schon für eine gravierende Schwachstelle. Auch schwache Passworte können so gehasht werden, dass selbst nach einem Einbruch und dem Kopieren der Datenbank, kein Passwort aus dem jeweiligen Hash gewonnen werden kann.

Wer das Hashen richtig macht, der muss natürlich auch den direkten Angriff auf das Login verhindern. Ein effektiver Schutz gegen Brute-Force-Angriffe auf das Login beginnt bereits bei dem Schutz registrierte Benutzernamen (meist die E-Mail-Adresse) zu finden. Weder das Login noch die Passwort-Erinnerung darf Hinweise auf registrierte Benutzernamen zurückmelden. Auch die Registrierung kann so geschützt werden, dass Brute-Force-Angriffe zum enumerieren von bereits registrierten Benutzernamen, stark erschwert, wenn nicht gar unmöglich gemacht wird. Dieser Schutz setzt schon weit vor der Vergabe eines Passwortes durch den Benutzer an.

Stand der Technik ist die Verschlüsselung aller wichtigen Daten – auf jeden Fall der Passwörter; diese Erfordernis ist seit dem Sony Play Station Hack im April 2011 weltweit bekannt.

Passworte werden (hoffentlich!) gehasht, aber kaum verschlüsselt — dies nur als Korinthe am Rande. ;O) An dem Sony-Hack hat man aber auch gesehen, dass die Verärgerung der Kunden eher durch das vorübergehende Abschalten der Server entstand, weshalb das Spielen für einige Wochen nicht mehr möglich war, aber nicht dadurch, dass Angreifer auf persönliche Daten Zugriff hatten. Die Benutzerzahlen sind nach dem Hack sogar nach oben gegangen!


Dem eigentlichen Problem wird man nur Herr werden, wenn der Anwender eine Handhabe bekommt, gegen Provider und Seitenbetreiber rechtlich vorzugehen. Erst wenn es finanzielle Konsequenzen nach sich zieht, wird gehandelt — Selbstverpflichtungen und Versprechen werden kaum zu konkreten Ergebnissen führen.

Die Wirtschaft jammert bereits wenn der Bund eine Meldepflicht für Betreiber von kritischer Infrastruktur ins Gespräch bringt, anstatt dies als Anlass zu nehmen, dafür zu sorgen, dass es gar keinen Grund gibt etwas zu melden. Jahrzehnte lang wurde kaum in die IT-Sicherheit investiert, da ist es verständlich, dass von eben auf gleich, keine echte Verbesserung möglich ist, ohne viel Geld, sehr viel Geld, in die Hand zu nehmen.

BITKOM zum Passwortdiebstahl” (bitkom.org)

– Betroffene Internetnutzer müssen informiert werden
– Tipps zum richtigen Umgang mit Passwörtern

Der Hightech-Verband BITKOM fordert
(…)
„Jeder Internetnutzer muss umgehend erfahren können, ob seine Daten von dem Diebstahl betroffen sind“
(…)
„Dieser Fall zeigt: Die Politik muss den Kampf gegen die Organisierte Kriminalität im Internet deutlich verstärken“, so Rohleder. „Das bedeutet auch, dass die dafür notwendigen Mittel bereitgestellt werden müssen. Datenschutz und Sicherheit gibt es nicht zum Nulltarif.“

BITKOM rät zudem jedem Internetnutzer, einige grundsätzliche Regeln für seine Passwörter zu beherzigen.
(…)

Als Vertreter von “2.200 Unternehmen der digitalen Wirtschaft” ist es nicht verwunderlich, dass die Opfer aufgefordert werden zu handeln, nämlich sichere Passworte zu wählen. Und natürlich soll der Bund mehr Geld für “den Kampf gegen die Organisierte Kriminalität im Internet” ausgeben. Aber kein Wort an die eigentlichen Schuldigen, für den “Passwortdiebstahl” — die Seitenbetreiber. Aus Sicht des BITKOM können Unternehmen wahrscheinlich immer nur die wahren Opfer sein, entweder von Hackern oder vom Bund, der Meldepflichten für IT-Sicherheitsvorfälle gesetzlich vorschreiben möchte. >>>
Geplantes IT-Sicherheitsgesetz wird für die Wirtschaft teuer” (bitkom.org)

Wirklichkeiten des Marktes

Kommentar: Wie die USA ihre IT-Wirtschaft zerstören” (heise.de)
Ich möchte hier nur einen Punkt aufgreifen, bei dem ich Herrn Braun widerspreche.

Die, die es immer schon wussten, werden sich gelangweilt abwenden: Wie kann man denn so leichtsinnig sein, einem US-Unternehmen sensible Kundendaten oder Geschäftsgeheimnisse anzuvertrauen? Doch diese Haltung geht an den Wirklichkeiten des Marktes vorbei. Im Zeitalter der Cloud haben sich gehostete Dienste gegen selbst gepflegte Anwendungen weitgehend durchgesetzt.

Nur weil etwas am Markt angeboten wird, muss ich es nicht kritiklos nutzen. Als denkender Mensch habe ich die Möglichkeit mich für oder gegen etwas zu entscheiden. Manchmal bedeutet dies auch, Verzicht zu üben, sich bewusst gegen den Trend, gegen den Markt zu entscheiden. Vielleicht auch darauf zu warten, bis der Markt das anbietet, was ich nutzen möchte.

  • Ich nutze beispielsweise kein Gmail, weil ich meinen Kommunikationspartnern nicht zumuten kann und will, dass alles was sie von mir bekommen und mir senden, analysiert und im Zweifel an US-Schergen weitergegeben wird.
  • So lange es keine Ende-zu-Ende-Verschlüsselung für De-Mail gibt, werde ich diese nicht nutzen.
  • Windows Vista ist Müll, also habe ich so lange gewartet bis Windows 7 kam. Windows 8 ist auch wieder Murks, also warte ich auf Windows 9.
  • Da ich niemanden zwingen kann PGP zu nutzen, muss ich notgedrungen unverschlüsselt meine E-Mails versenden. Aber auch dies ist eine bewusste Entscheidung von mir.

Spätestens seit Echelon ist es kein Geheimnis mehr, dass der Schurkenstaat™ alles an Daten anzapft und verarbeitet, wessen er habhaft werden kann. Cloud-Computing spielt diesen kranken Geistern in die Hände, aber wer nichts zu verbergen hat…

Man hat immer die Wahl.