blog@netplanet

Netzwerkpenetration gehört zu meinen heimlichen Leidenschaften. Ein vermeintlich abgesichertes Netzwerk ist erst dann halbwegs vertrauenswürdig, wenn es einigen Standardangriffen standhält. Während im privaten Haushalt es früher einmal ausreichte, zumindest einen aktuell gepatchten Windows-PC zu haben, ist heutzutage im Zeitalter von veritablen Heimnetzwerken eine weitergehende Vorsicht empfohlen. Zumindest sollte man Passwortfunktionen nicht einfach mal so abschalten.

Das hat unser Nachbar getan, was ich zunächst einmal nur dadurch erkannt habe, dass er ein offenes WLAN hatte. Der Rest war dann ein Einloggen in das Netzwerk und simple Recherche, die erschreckende Löcher zu Tage brachte. Ich habe mir daher erlaubt, auf dem Desktop des Nachbars eine Datei mit folgendem Inhalt abzulegen. Durch das Fenster habe ich gesehen, dass er das Erscheinen dieser Datei auch gesehen und die Datei geöffnet hat. Zumindest ist er bis zum Punkt 12 vorgedrungen und hat ihn ausgeführt.

1. Dein WLAN möchte verschlüsselt werden, bitte WPA2 aktivieren und einen Key eintragen.
2. Deine Fritzbox möchte ein Passwort haben.
3. Du möchtest deine Fritzbox so konfigurieren, dass sie nicht automatisch neue Rechner im WLAN akzeptiert.
4. Dein XP-Rechner möchte eine aktivierte Windows-Firewall haben.
5. Dein Benutzerprofil auf deiner Kiste möchte ein Passwort haben.
6. Du möchtest den Remote-Desktop so einstellen, dass er nicht alle Anfragen akzeptiert.
7. Dein Virenscanner ist out of date.
8. Dein NAS-Gerät hätte ebenfalls gern ein Passwort.
9. Die zwei Festplatten deines NAS sind in einem RAID 0 konfiguriert. So kannst du sie auch gleich löschen, wenn du sie eigentlich gesichert sehen willst.
10. Du willst deine TAN-Liste niemals mehr einscannen und auf dem Desktop ablegen.
11. Du möchtest bitte die Dateifreigabe für einige Verzeichnisse schließen, wenn du die obigen Punkte nicht beachtest. Mindestens für den Ordner “C:FRAUEN”.
12. Drehe dich mal um. Der, der dir gerade winkt, hat dir diese Datei auf den Desktop gelegt und hilft dir gern dabei, dies alles nun anzupacken. Fange bitte SOFORT mit Punkt 1 an.

Natürlich sind die obigen Empfehlungen nicht wirklich ernst gemeint. Denn eigentlich steht bei ihm nun Großreinemachen an und das heißt: Neukonfiguration bzw. -installation von Fritzbox, Notebook, NAS. Weiß der Geier wer da in der letzten Zeit noch alles bei ihm zu Besuch war.

• 

Ich halte das ZDF-Verbrauchermagazin WISO schon seit einer ganzen Weile für ein hyperventilierendes Skandal-Aufdecken-Magazin für die eher nicht ganz so überbemittelte Bevölkerungsschicht. Noch nicht für das Prekariat, sondern eher für die engagierten Bürger auf der Stufe des mittelständigen Unternehmers oder des Gymnasiallehrers, die morgens beim Kaffeeziehen am Automaten nicht ganz so proletenhaft auftreten mögen, wie die Belegschaft der unteren Gehaltsgruppen. Lange her die Zeiten, als frühere Inkarnationen von WISO (damals noch ein Kunstwort aus “Wirtschaft + Soziales”) tatsächlich noch wirtschaftliche Sachverhalte erklärte, aber in der langjährigen Bewegung des ZDF, Magazinsendungen einfacher für des Volkes Verstand zu machen, fiel auch das zum Opfer, neben einer ganzen Reihe von weiteren Magazinsendungen, die komplett aus dem Programm gebügelt wurden.

Da passt es auch toll ins Schema, dass in der WISO-Ankündigung für die heutige Sendung von einem unglaublichen “Datenleck beim elektronisch lesbaren Reisepass” gesprochen wurde. Quasi jeder könne den digital gescannten Fingerabdruck Anderer in seinen Reisepass schmuggeln und suggeriert wird, als ob das mit einer gewaltigen Einfachheit verbunden ist, die die ganze Maschinerie “Fingerabdruck im Reisepass” sofort aushöhlen könnte. Sowas schreit förmlich danach, sich den Sendetermin ganz fest einzuplanen und frisches Popcorn zu machen. Und wie es üblich ist bei eher laschen Beiträgen: Sie kommen ganz am Ende der Sendung.

Was war denn in der Geschichte überhaupt passiert? Ein IT-Spezialist und “Ex-Hacker” (Selbstdarstellung) namens Gunnar Porada hat entdeckt, dass der Fingerabdruckleser in den Meldebehörden die eingescannten Daten unverschlüsselt an den angeschlossenen Computer übermittle:

“So funktioniert der Angriff: Die Fingerabdrücke werden vom Lesegerät an den Behördencomputer übertragen – unverschlüsselt: eine entscheidende Schwachstelle. Der Hacker schleust, etwa übers Internet oder mittels eines präparierten Datenträgers, einen Trojaner, ein speziell entwickeltes Schadprogramm, in den Behördenrechner ein und kann dann die Fingerabdrücke mitlesen und manipulieren.”
– Webseite zum Beitrag auf wiso.zdf.de

Ach, so einfach ist das? Beim nächsten Reisepass nehme ich einfach eine CD-ROM mit und bitte den netten Schalterbeamten, diese einfach einzulegen. Oder ich lasse mir seine E-Mail-Adresse geben und maile ihm dann einen Trojaner. Oder ich hacke mich in das Netzwerk einer mittelgroßen Stadt mit mindestens einer vierstelligen Zahl von Rechner im Netzwerk ein, finde die paar Rechner der Meldebehörde, hacke mich da eben mal schnell hinein und manipulieren dann. Ah ja?

“Sicherheitslücken in Behördenrechnern seien, wie bei allen Computern, nicht die Ausnahme, erklärt Gunnar Porada: ‘Die Meldeamtscomputer sind online und wie alle Computer auch des Öfteren von Schwachstellen betroffen, die einfach nicht geschützt werden können. Das heißt: Diese Computer kann man angreifen.’”

Ah ja. Alles klar. Wir haben gelernt:

• Trojaner sind gefährlich.
• Rechner in Meldebehörden sind quasi Selbstbedienungsterminals.
• Der Reisepass ist unsicher.

Wie gut, dass es WISO gibt. Und wie gut, dass es Ex-Hacker gibt. Mit einer komplett flash-basierten Baukasten-Website aus dem Jahre 2005 und ohne Impressumsangaben. Kimble hat in seiner Zeit des “Ex-Hackertums” wenigstens gelegentlich schöne Fotos gemacht.

• 

Kollege Robert Basic hat in seinem Blog ein interessantes Statement eines so genannten “Web-Gründers”, der seine Sicht auf die aktuelle Krise des Finanzsektors darlegt. Manche Experten gehen ja davon aus, dass mit der Finanzmarktkrise schon sehr bald nicht nur die Banken den anderen Banken nicht mehr trauen, sondern auch anderen Unternehmen, am ehesten nicht den Unternehmen, die kein tragfähiges Business-Konzept darlegen können, eine weit verbreitete Seuche in der Web-Szene.

Nun ist es nicht gerade so, dass ich “Web-Gründern” wirklich sehr viel dabei vertrauen würde, wenn sie mir etwas über die Weltwirtschaft daherposaunen. Ein Absatz hat es mir aber sehr angetan, was mir sofort zeigt, dass da jemand schreibt, der von der Materie überhaupt keine Ahnung hat:

“Ich denke, Online kann von der ganzen Krise seehr profitieren. Unternehmen müssen einsparen, wodurch sich gute Chancen fürs Web ergeben: Warum MS Office für meine 200 Mitarbeiter kaufen, kann doch Google Docs oder Zoho nutzen? Warum teure Exchange Server, wenn Gmail das auch kann? Warum eigene Server Farmen, wenn ich Amazon outsourcen kann? Warum teure TV Kampagnen mit TKPs von (ka, schätz einfach ma) 20 Euro, wenn ich im Web targetisiert meine Zielgruppe ansprechen kann? Etc etc etc du weißt schon, was ich meine…”

Wer auch immer der ominöse Interviewpartner war – es ist in der Tat gut für ihn, dass er namenlos bleibt. Allein schon der Gedanke, dass das vielleicht ein Betreiber eines Webportales sein könnte, der auf diese Weise seine Kundendaten “oursourced”, läßt mir spontan die Fußnägel nach innen wachsen, weil es hanebüchen daneben ist und das gleich mit vielen Argumenten:

• Unternehmen sparen, wenn sie einsparen müssen, zu allererst am Personal ein, weil das in den meisten Firmen den größten Ausgabeposten darstellt. Eine komplette Exchange-Infrastruktur gibt es schon zum Monatsgehalt eines gutbezahlten Ingenieurs und zudem wird die EDV grundsätzlich auf mehrere Jahre hin abgeschrieben, so dass EDV-Kosten für Office und Collaboration in einem Unternehmen kein großes Thema sind, wenn man als Workstations nicht gerade die letzten Pfeifer kauft, keinen Servicevertrag beihat oder sich nicht erstklassig übers Ohr hauen lässt. Zudem gibt es praktisch für jede Hard- und Software die Möglichkeit von Mietkäufen bis hin zur eingesetzten Software, so dass sich die Ausgabenstruktur für wirklich alle Eventualitäten anpassen lässt.
• Unternehmenskritische, möglicherweise geheimzuhaltende Daten bei externen Dienstleistern outzusourcen, deren Sicherheitslage nicht zu kennen und dabei auch noch zu wissen, dass die Daten voraussichtlich außerhalb Deutschlands liegen, ist nicht nur moralisch ein Problem, sondern kann ein richtig handfester Straftatsbestand werden. Kundendaten müssen nachweislich sicher vor Zugriff Dritter sein und jedes Sicherheitsaudit wird spätestens bei der Frage enden, wo denn die Unternehmensdaten liegen, wenn die Antwort “bei Google” heißt. Der Gesetzgeber stellt Datenmißbrauch (zu Recht) verhältnismäßig empfindlich unter Strafe.

•