Wann man externe Dienste zum Verwalten seiner Passwörter nutzen sollte.

Ganz einfach: Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals. Niemals.

Der Staat schnüffelt in deinen Daten? Weil du sie nicht schützt!

Ein offensiver Titel, ich weiß. Und natürlich ist das auch nur die halbe Wahrheit, denn man kann nicht alle Daten schützen, ohne zumindest ein Teil dieser Daten auch zu kommunizieren. Wer niemals spricht, wird auch nicht gehört, aber gelegentlich muss man eben sprechen.

Datensicherheit fängt jedoch immer hinten an, niemals vorn. Daten zu sichern ist keine Eintagsgeschichte und das gilt für Unternehmen genauso, wie für Privatmenschen. Wenn mir ein Privatmensch sagt, er habe keine zu sichernden Daten, dann ist das glatt gelogen, denn wenn ich in meine Passwortverwaltung schaue, finde ich da weit über 200 zu sichernde Passwörter für verschiedene Logins. Das fängt von Karten-PINs an, geht über Facebook & Co. bis hin zu Logins für so exotischere Dienste wie die Packstation oder das Passwort für die Gastherme im Haus. Alles Dienste und Gerätschaften, die Passwörter brauchen und Sicherheit fängt damit an, dass man niemals immer das gleiche Passwort verwendet.

Sicherheit ist eine unglaubliche Schweinearbeit, das stimmt. Ich kenne Unternehmer, deren IT-Abteilung inzwischen weit über die Hälfte ihrer Arbeitszeit in IT-Sicherheit investiert und dennoch gibt es dort viel zu tun. Vollkommene Sicherheit ist eine Utopie, aber dennoch muss man zuschauen, sich vor Virenbefall weitestgehend zu schützen und dafür zu sorgen, dass sicherheitsrelevante Daten nicht in falsche Hände geraten. Oder eben in falsche Netze. Sicherlich würden die Behörden dieser Welt an alle meine Login-Daten kommen, wenn sie das unbedingt wollten. Es ist aber immer eine Frage des Aufwandes, wenn sie alle diese Dienste fragen müssten und nicht durch meine Dummheit vielleicht an ein Passwort kommen würden, das ich, wenn ich fahrlässig wäre, für alle Logins einsetzen würde.

Dazu kommt, dass man sensible Daten nicht einfach nur auf die Festplatte legt. Und auch nicht in ein besonders verstecktes Verzeichnis. Oder auf einen USB-Stick, den man bei Omi in der Schublade versteckt. Nein, Daten sind niemals sicher, wenn sie nicht sinnvoll verschlüsselt sind. Sind sie sinnvoll verschlüsselt und ist das Passwort hinreichend komplex, spielt es keine Rolle, wo die Dateien liegen.

In der IT-Sicherheit unterscheidet man nicht zwischen Unbefugtem, Ex-Mitarbeiter, Hacker, feindlichem Staat oder Heimatstaat. Es gibt schutzbedürftige Daten und die müssen geschützt werden, Punkt. Da man davon ausgehen darf, dass Verkehrsdaten, also Daten, die man beim Kommunizieren erzeugt, allesamt alle aufgezeichnet und mit allen anderen, verfügbaren Verkehrsdaten in Beziehung gesetzt werden – ob nun vom Geheimdienst der USA, Deutschlands, Großbritanniens oder vom Geheimdienst von Krypton, ist irrelevant. Sie schnüffeln alle, sie tauschen alle munter Daten aus, wenn es ihren eigenen Interessen nicht zuwiderläuft und alle verantwortlichen Politiker werden einen Teufel tun, diesem Treiben ein Ende zu setzen, weil Intelligence deren Hintern politisch absichert und die Schnüffelindustrie den nächsten Wahlkampf finanziert. Der Staat gibt auf deinen Datenschutz keinen Pfifferling.

Deshalb: Datenschutz fängt immer von unten an. Und zwar bei dir. Nicht der Staat schützt deine Daten, sondern du selbst musst sie schützen. Und das machst du sinnvollerweise nicht beispielsweise mit den eingebauten Verschlüsselungssystemen von Windows, MacOS, iPhone, Android & Co., sondern nutzt dazu alternative, unabhängige Programme und Verschlüsselungssysteme und Einrichtungen, die ein Stück deiner Privatsphäre schützen und für dich allein sichtbar halten.

Als da wären ein paar Tipps:

Und gleich der Hinweis vorweg: IT-Sicherheit ist harte Arbeit und hat viel mit Disziplin zu tun, um die einmal aufgebaute Sicherheitsebene auch dauerhaft zu halten. Es gibt keine einfachen Lösungen. Es ist aber dafür sehr leicht, seine Daten nicht halbwegs im Griff zu haben. Die Wahl hat da jeder ganz persönlich.

Sicherheitsanalyse in der Nachbarschaft.

Netzwerkpenetration gehört zu meinen heimlichen Leidenschaften. Ein vermeintlich abgesichertes Netzwerk ist erst dann halbwegs vertrauenswürdig, wenn es einigen Standardangriffen standhält. Während im privaten Haushalt es früher einmal ausreichte, zumindest einen aktuell gepatchten Windows-PC zu haben, ist heutzutage im Zeitalter von veritablen Heimnetzwerken eine weitergehende Vorsicht empfohlen. Zumindest sollte man Passwortfunktionen nicht einfach mal so abschalten.

Das hat unser Nachbar getan, was ich zunächst einmal nur dadurch erkannt habe, dass er ein offenes WLAN hatte. Der Rest war dann ein Einloggen in das Netzwerk und simple Recherche, die erschreckende Löcher zu Tage brachte. Ich habe mir daher erlaubt, auf dem Desktop des Nachbars eine Datei mit folgendem Inhalt abzulegen. Durch das Fenster habe ich gesehen, dass er das Erscheinen dieser Datei auch gesehen und die Datei geöffnet hat. Zumindest ist er bis zum Punkt 12 vorgedrungen und hat ihn ausgeführt.

  1. Dein WLAN möchte verschlüsselt werden, bitte WPA2 aktivieren und einen Key eintragen.
  2. Deine Fritzbox möchte ein Passwort haben.
  3. Du möchtest deine Fritzbox so konfigurieren, dass sie nicht automatisch neue Rechner im WLAN akzeptiert.
  4. Dein XP-Rechner möchte eine aktivierte Windows-Firewall haben.
  5. Dein Benutzerprofil auf deiner Kiste möchte ein Passwort haben.
  6. Du möchtest den Remote-Desktop so einstellen, dass er nicht alle Anfragen akzeptiert.
  7. Dein Virenscanner ist out of date.
  8. Dein NAS-Gerät hätte ebenfalls gern ein Passwort.
  9. Die zwei Festplatten deines NAS sind in einem RAID 0 konfiguriert. So kannst du sie auch gleich löschen, wenn du sie eigentlich gesichert sehen willst.
  10. Du willst deine TAN-Liste niemals mehr einscannen und auf dem Desktop ablegen.
  11. Du möchtest bitte die Dateifreigabe für einige Verzeichnisse schließen, wenn du die obigen Punkte nicht beachtest. Mindestens für den Ordner „C:FRAUEN“.
  12. Drehe dich mal um. Der, der dir gerade winkt, hat dir diese Datei auf den Desktop gelegt und hilft dir gern dabei, dies alles nun anzupacken. Fange bitte SOFORT mit Punkt 1 an.

Natürlich sind die obigen Empfehlungen nicht wirklich ernst gemeint. Denn eigentlich steht bei ihm nun Großreinemachen an und das heißt: Neukonfiguration bzw. -installation von Fritzbox, Notebook, NAS. Weiß der Geier wer da in der letzten Zeit noch alles bei ihm zu Besuch war.

WISO und das Datenleck.

Ich halte das ZDF-Verbrauchermagazin WISO schon seit einer ganzen Weile für ein hyperventilierendes Skandal-Aufdecken-Magazin für die eher nicht ganz so überbemittelte Bevölkerungsschicht. Noch nicht für das Prekariat, sondern eher für die engagierten Bürger auf der Stufe des mittelständigen Unternehmers oder des Gymnasiallehrers, die morgens beim Kaffeeziehen am Automaten nicht ganz so proletenhaft auftreten mögen, wie die Belegschaft der unteren Gehaltsgruppen. Lange her die Zeiten, als frühere Inkarnationen von WISO (damals noch ein Kunstwort aus „Wirtschaft + Soziales“) tatsächlich noch wirtschaftliche Sachverhalte erklärte, aber in der langjährigen Bewegung des ZDF, Magazinsendungen einfacher für des Volkes Verstand zu machen, fiel auch das zum Opfer, neben einer ganzen Reihe von weiteren Magazinsendungen, die komplett aus dem Programm gebügelt wurden.

Da passt es auch toll ins Schema, dass in der WISO-Ankündigung für die heutige Sendung von einem unglaublichen „Datenleck beim elektronisch lesbaren Reisepass“ gesprochen wurde. Quasi jeder könne den digital gescannten Fingerabdruck Anderer in seinen Reisepass schmuggeln und suggeriert wird, als ob das mit einer gewaltigen Einfachheit verbunden ist, die die ganze Maschinerie „Fingerabdruck im Reisepass“ sofort aushöhlen könnte. Sowas schreit förmlich danach, sich den Sendetermin ganz fest einzuplanen und frisches Popcorn zu machen. Und wie es üblich ist bei eher laschen Beiträgen: Sie kommen ganz am Ende der Sendung.

Was war denn in der Geschichte überhaupt passiert? Ein IT-Spezialist und „Ex-Hacker“ (Selbstdarstellung) namens Gunnar Porada hat entdeckt, dass der Fingerabdruckleser in den Meldebehörden die eingescannten Daten unverschlüsselt an den angeschlossenen Computer übermittle:

„So funktioniert der Angriff: Die Fingerabdrücke werden vom Lesegerät an den Behördencomputer übertragen – unverschlüsselt: eine entscheidende Schwachstelle. Der Hacker schleust, etwa übers Internet oder mittels eines präparierten Datenträgers, einen Trojaner, ein speziell entwickeltes Schadprogramm, in den Behördenrechner ein und kann dann die Fingerabdrücke mitlesen und manipulieren.“
Webseite zum Beitrag auf wiso.zdf.de

Ach, so einfach ist das? Beim nächsten Reisepass nehme ich einfach eine CD-ROM mit und bitte den netten Schalterbeamten, diese einfach einzulegen. Oder ich lasse mir seine E-Mail-Adresse geben und maile ihm dann einen Trojaner. Oder ich hacke mich in das Netzwerk einer mittelgroßen Stadt mit mindestens einer vierstelligen Zahl von Rechner im Netzwerk ein, finde die paar Rechner der Meldebehörde, hacke mich da eben mal schnell hinein und manipulieren dann. Ah ja?

„Sicherheitslücken in Behördenrechnern seien, wie bei allen Computern, nicht die Ausnahme, erklärt Gunnar Porada: ‚Die Meldeamtscomputer sind online und wie alle Computer auch des Öfteren von Schwachstellen betroffen, die einfach nicht geschützt werden können. Das heißt: Diese Computer kann man angreifen.'“

Ah ja. Alles klar. Wir haben gelernt:

  • Trojaner sind gefährlich.
  • Rechner in Meldebehörden sind quasi Selbstbedienungsterminals.
  • Der Reisepass ist unsicher.

Wie gut, dass es WISO gibt. Und wie gut, dass es Ex-Hacker gibt. Mit einer komplett flash-basierten Baukasten-Website aus dem Jahre 2005 und ohne Impressumsangaben. Kimble hat in seiner Zeit des „Ex-Hackertums“ wenigstens gelegentlich schöne Fotos gemacht.

(Un)Sicherheitsgefühl von/bei „Web-Gründern“.

Kollege Robert Basic hat in seinem Blog ein interessantes Statement eines so genannten „Web-Gründers“, der seine Sicht auf die aktuelle Krise des Finanzsektors darlegt. Manche Experten gehen ja davon aus, dass mit der Finanzmarktkrise schon sehr bald nicht nur die Banken den anderen Banken nicht mehr trauen, sondern auch anderen Unternehmen, am ehesten nicht den Unternehmen, die kein tragfähiges Business-Konzept darlegen können, eine weit verbreitete Seuche in der Web-Szene.

Nun ist es nicht gerade so, dass ich „Web-Gründern“ wirklich sehr viel dabei vertrauen würde, wenn sie mir etwas über die Weltwirtschaft daherposaunen. Ein Absatz hat es mir aber sehr angetan, was mir sofort zeigt, dass da jemand schreibt, der von der Materie überhaupt keine Ahnung hat:

„Ich denke, Online kann von der ganzen Krise seehr profitieren. Unternehmen müssen einsparen, wodurch sich gute Chancen fürs Web ergeben: Warum MS Office für meine 200 Mitarbeiter kaufen, kann doch Google Docs oder Zoho nutzen? Warum teure Exchange Server, wenn Gmail das auch kann? Warum eigene Server Farmen, wenn ich Amazon outsourcen kann? Warum teure TV Kampagnen mit TKPs von (ka, schätz einfach ma) 20 Euro, wenn ich im Web targetisiert meine Zielgruppe ansprechen kann? Etc etc etc du weißt schon, was ich meine…“

Wer auch immer der ominöse Interviewpartner war – es ist in der Tat gut für ihn, dass er namenlos bleibt. Allein schon der Gedanke, dass das vielleicht ein Betreiber eines Webportales sein könnte, der auf diese Weise seine Kundendaten „oursourced“, läßt mir spontan die Fußnägel nach innen wachsen, weil es hanebüchen daneben ist und das gleich mit vielen Argumenten:

  • Unternehmen sparen, wenn sie einsparen müssen, zu allererst am Personal ein, weil das in den meisten Firmen den größten Ausgabeposten darstellt. Eine komplette Exchange-Infrastruktur gibt es schon zum Monatsgehalt eines gutbezahlten Ingenieurs und zudem wird die EDV grundsätzlich auf mehrere Jahre hin abgeschrieben, so dass EDV-Kosten für Office und Collaboration in einem Unternehmen kein großes Thema sind, wenn man als Workstations nicht gerade die letzten Pfeifer kauft, keinen Servicevertrag beihat oder sich nicht erstklassig übers Ohr hauen lässt. Zudem gibt es praktisch für jede Hard- und Software die Möglichkeit von Mietkäufen bis hin zur eingesetzten Software, so dass sich die Ausgabenstruktur für wirklich alle Eventualitäten anpassen lässt.
  • Unternehmenskritische, möglicherweise geheimzuhaltende Daten bei externen Dienstleistern outzusourcen, deren Sicherheitslage nicht zu kennen und dabei auch noch zu wissen, dass die Daten voraussichtlich außerhalb Deutschlands liegen, ist nicht nur moralisch ein Problem, sondern kann ein richtig handfester Straftatsbestand werden. Kundendaten müssen nachweislich sicher vor Zugriff Dritter sein und jedes Sicherheitsaudit wird spätestens bei der Frage enden, wo denn die Unternehmensdaten liegen, wenn die Antwort „bei Google“ heißt. Der Gesetzgeber stellt Datenmißbrauch (zu Recht) verhältnismäßig empfindlich unter Strafe.