Aug 10

In dieser Woche überschlugen sich die Ereignisse. Nach einem Bericht in der New York Times entdeckte die Sicherheitsfirma Hold Security den Diebstahl von ca 1,2 MIlliarden Zugangsdaten, also Kombinationen aus Mailadresse bzw. Benutzername und einem Passwort bzw. einem Passwort-Hash. Diese sollen von etwa 400.000 Webseiten kommen. Allein diese riesige Zahl macht deutlich, dass ein Großteil der Diebstähle wohl nicht in mühevoller Handarbeit erfolgten, sondern weitgehend automatisiert. Die Hacker dürften Sicherheitslücken in verbreiteter Software genutzt haben, entweder Lücken in der Server-Software oder bei den installierten Anwendungen.

Auch ein Live-Hack, der auf der Sicherheitskonferenz Black Hat vorgeführt wurde, gibt dem Verbraucher ein ungutes Gefühl. In ein mobiles Terminal, wie es millionenfach zum Auslesen von EC- und Kreditkarten benutzt wird, wurde eine vereinfachte Version des Spiels „Flappy Bird“ eingespielt. So harmlos der Hack anmutet, er beweist, dass es möglich ist, beliebigen Code auf diese Geräte zu bekommen und Kontrolle über die Tastatur zu erhalten. Damit wäre es möglich, PIN-Abfragen abzugreifen. Brisant wird der Hack durch die Tatsache, dass die Hacker davon ausgehen, dass dieser Hack bei ca 75% der weltweit eingesetzten Terminals funktiert.

Diese Meldungen und viele andere aus der Vergangenheit zeigen, dass es mit der Sicherheit eher schlecht bestellt ist. Betroffen waren in der Vergangenheit nicht nur kleine Firmen, sondern auch Branchengrößen wie ebay oder Sony, denen man genug Geld und Knowhow  für Datensicherheit unterstellen darf. Daher stellt sich die Frage, ob das Thema Sicherheit richtig angefaßt wird und ob die aktuellen Sicherheitskonzepte zeitgemäß sind. Bei Kartenterminals z.B. ist es ein altbekanntes, aber noch immer ungelöstes Problem: Der Nutzer muss der Maschine blind vertrauen und seine Daten (Karte und PIN) preisgeben. Er hat keine Möglichkeit zu kontrollieren, ob das Terminal wirklich das ist und macht, was es vorgibt. Die gleiche Problematik gilt inzwischen auch für viele Webseiten. Selbst wer die Adresse seiner Bank von Hand eintippt, kann nicht mehr sicher sein, auch auf der Webseite seiner Bank zu landen. Die Manipulationsmöglichkeiten sind hier vielfältig und reichen vom Trojaner auf dem eigenen Rechner über manipulierte Heimrouter bis hin zu manipulierten DNS-Servern bei Providern.

Ein Umdenken muss her und zwar auf allen Ebenen. Viele Webseitenbetreiber müssen sich mal ernsthaft fragen, ob es nötig ist, dass man sich auf Ihren Webseiten überhaupt anmelden muss. Benutzerdaten, die nicht erhoben werden, können auch nicht falsche Hände kommen. Updates der eingesetzten Software sollten selbstverständlich sein. Was bei Do-It-Yourself-Webmastern meist klappt, ist im gewerblichen Bereich schon ein Problem. Viele Firmen und Freiberufler lassen sich Ihre Webseite von einer Agentur erstellen, pflegen selber evtl. mal einige Inhalte ein, können aber keine Updates einspielen. Oft scheitert es daran, dass die Agenturen CMS-Systeme wie z.B. Typo3 einsetzen, die für den Zweck schon zu gross sind. Niemand wird seine Brötchen mit einem LKW vom Bäcker holen, aber ein (oft veraltetes) Typo3 für eine kleine ziemliche statische Webseite einer Arztpraxis oder eines Handwerkers werden Sie sehr oft finden. Die meisten Betroffenen haben nicht die geringste Ahnung, welche Zeitbombe sie da ticken haben. Aber auch die Webhoster selber müssen ihre Hausaufgaben machen. Server laufen meist nach dem Prinzip „Never change a running system“ und die Software wird selten Updates unterzogen. Angreifbare Serversoftware und veraltete Betriebssysteme mit bekannten Fehlern sind nicht die Ausnahme, sondern die Regel.

Ein lobenswerter Anfang war die Aktion des Webhosters Goneo. Nach zahlreichen gehackten Ur-Alt Joomla Installationen von Kunden begann man, die Kunden zu informieren, dass man im Interesse aller Kunden Web-Accounts mit gefährlichen Alt-Versionen einige Tage später abschalten werde, wenn kein Update erfolgt. Der Antrieb dieser Aktion war aber weniger die Datensicherheit, sondern die Tatsache, dass die gehackten Joomlas die betroffenen Server so stark auslasteten, dass die Webseiten anderer Kunden auch nicht mehr funktionierten. Dennoch ist die Idee, die Webserver der Kunden nach bekannt gefährlichen Installationen abzuscannen, ein Ansatz für etwas mehr Sicherheit.

Ein anderer Ansatz wäre Datensparsamkeit und das konsequente Meiden von Webseiten mit obskuren Cookies (Cookies von Drittanbietern, meist Werbenetzwerken) und nervigen Sicherheitswarnmeldungen des Browsers. Was nützt ein Shop mit SSL Verschlüsselung, wenn ein Teil der Inhalte der Webseite doch wieder unverschlüsselt sind? Die meisten Browser warnen davor und das nervt. Grund genug, sein Geld woanders auszugeben – das ist meist die einzige Sprache, die sehr schnell in den Chefetagen verstanden wird. Wir Verbraucher haben es ein Stück weit in der Hand…

geschrieben von Holger \\ tags: , , , , , ,

Nov 24

Darf man einer vor zwei Tagen veröffentlichten Studie der Firma Websense glauben, dann gehört der Diebstahl von Daten in  Unternehmen zur Tagesordnung. Rund 1000 IT-Manager seien befragt worden und offenbarten erschreckende Erkenntnisse. So seien 33% der Befragten bereits wichtige Firmendaten gestohlen worden. Gleichzeitig würden neue Gefahren aus dem Web nur von 30% als ernstzunehmende Gefahr eingestuft. Und nur 2% setzen auf professionelle Lösungen zur „Data Lost Prevention“. Natürlich darf man einem Anbieter von Sicherheitslösungen gewisse Interessen unterstellen und muss solche Meldungen etwas relativieren. Schon bei einem einfachem Rundmailing z.B. an gute Kunden kann man ungewollt wichtige Firmendaten verlieren – wenn man z.B. die Empfängeradressen nicht ins BCC setzt, sondern für sichtbar einsetzt.

Dennoch lassen die zahlreichen Meldungen in den Medien über Datenpannen, Datenlecks und Datendiebstähle ahnen, dass die von Websense ermittelten Zahlen stimmen könnten. Möglicherweise ist die Dunkelziffer noch größer, denn nur gravierende Fälle finden ihren Weg in die Medien und evtl. hat auch nicht jeder IT-Manager einen gravierenden Verlust von Daten in der Befragung eingestanden.

Der Schutz von Daten vor Missbrauch wird offenbar noch immer als lästiges Übel betrachtet. Niemand käme auf die Idee, ein Lager, in dem teure Ware gelagert wird, ohne verschlossene Tore und Alarmanlage zu betreiben. Geldautomaten sind in sich kleine Festungen aus bestem Stahl und dazu noch fest im Fundament der Gebäude verankert, damit möglichst niemand den Automat als Ganzes klaut. Die gleichen Automaten waren dagegen jahrelang nur unzureichend gegen Datenklau per Skimming geschützt.

Firmennetzwerke werden im Regelfall zwar gegen Angriffe von Aussen geschützt, aber schon so vergleichsweise einfache Trojaner wie der UKASH (BKA-Trojaner) schaffen es immer wieder, Virenschutzsoftware zu überwinden. Ein gezielt zum Datenklau eingesezter Trojaner wird mit sehr großer Wahrscheinlichkeit alle handelsüblichen Schutzprogramme überwinden können. Der Schutz der Daten gegen Angriffe von Innen, also durch Mitarbeiter, ist ein noch viel heikleres Thema. Hier gibt es kaum belastbare Zahlen. Aber man darf vermuten, dass es diesen Schutz in kleineren und mittleren Unternehmen defakto nicht gibt. Möglicherweise ist den Verantwortlichen in solchen Firmen gar nicht klar, welche Daten anfallen und welche davon wichtig sind.

Fakt scheint zu sein, dass Datenschutz nur als lästiges Übel wahrgenommen wird. Und dass Verstöße dagegen damit enden, dass ein paar Tausend Leute illegal Werbung zugemail bekommen. Genau das ist falsch! Datenschutz ist das Verhindern von Datendiebstählen. Datendiebstähle können schon im kleinen Stil riesige Schäden anrichten, wie diese Meldung der NOZ über Betrug mit geklauten EC-Karten Daten zeigt. Dort wird wieder über EC-Karten-Datenklau in EDEKA Supermärkten berichtet. Die diesmal betroffenen Märkte im Raum Göttingen machten die gleichen Fehler wie die einen Monat zuvor betroffenen Märkte im Raum Osnabrück. Die EC-Geräte wurden weder regelmäßig auf Manipulationen überprüft noch nachts im Tresor aufbewahrt. Ein Lerneffekt innerhalb der EDEKA-Kaufleute ist nicht feststellbar  – sonst hätte man den neuen Schaden gut vermeiden können.

Während die Lebensmittelhänder mit „Wir lieben Lebensmttel“ werben, sollten wir Kunden lieber unsere Daten lieben und dort einkaufen, wo es sicher ist. Fragen Sie doch mal an der Kasse nach Datenschutz und Datensicherheit!

geschrieben von Holger \\ tags: , , , , , , , ,

Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessen. Durch Deinen Besuch stimmst Du dem zu.