Samstag, 5. Januar 2019, 15:47
Strengere Regeln für Anbieter? Strengere Regeln für's Hirn wären besser!
Statt strengere Regeln für Anbieter zu fordern, sollten sie lieber strengere Regeln für's Hirn fordern.
Ich bin ziemlich sicher, dass das, was in zahlreichen Medien als "Hack" bezeichnet wird, in Wirklichkeit nur Fleißarbeit (ohne die Straftat dabei beschönigen zu wollen) war, und zwar ganz stark darauf gerichtet, an welchen Stellen die Betroffenen entgegen jeder Empfehlung, wie man Passwörter vergibt, was man an wichtigen Dokumenten wo hin legt (und wohin nicht), und was man besser verschlüsseln sollte, gehandelt haben.
Ich neige ja fast dazu zu sagen: Selbst schuld.
Ich bin ziemlich sicher, dass das, was in zahlreichen Medien als "Hack" bezeichnet wird, in Wirklichkeit nur Fleißarbeit (ohne die Straftat dabei beschönigen zu wollen) war, und zwar ganz stark darauf gerichtet, an welchen Stellen die Betroffenen entgegen jeder Empfehlung, wie man Passwörter vergibt, was man an wichtigen Dokumenten wo hin legt (und wohin nicht), und was man besser verschlüsseln sollte, gehandelt haben.
Ich neige ja fast dazu zu sagen: Selbst schuld.
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Uwe
im heutigen clickbait Jornalismus sind Belege ja nur Arbeit und Wörter wie "Hackerangriff" ziehen besser
das wird irgendeins der üblichen Dinger gewesen sein: Passwörter schlecht/wiederverwendet, Antworten auf Sicherheitsfragen, die man googeln kann, auf Mailanhänge geklickt oder irgendeine Kombination daraus
Michael
Ansonsten stimme ich Dir zu: Dieser Hack war sehr wahrscheinlich „nur“ Social Engineering und nutzte die Bequemlichkeit der Betroffenen aus.
Benjamin
- Verplichtung zu 2FA
- Verpflichtung, offene Authentifizierungsschnittstellen (OpenId/OAuth2) zu unterstützen
Gerade letzteres ermöglicht eigentlich erst, dass auch Nutzer ohne Passwortmanager ohne Passwortwiederverwendung und ohne übermäßiges 2FA-generve halbwegs sicher mit ihren credentials umgehen.
Benjamin
Da macht es wenig Sinn, auf das Hirn von Menschen zu setzen, sondern wir müssen die Technologischen Rahmenbedingungen schaffen, dass Sicherheit by Design kommt.
hoschi
Zunächst mal, ich vermute Manuel hat mit seiner Einschätzung recht.
Poltisch:
Bitte legt der Politik nicht auch noch Worte in den Mund, sonst schreiben die eine Sicherheitstechnik X vor und wir müssen damit leben. Egal wie schlecht oder gut die ist. Ein paar Jahre später ist 2FA wieder doch nicht so gut und irgend ein Politiker lässt sich dann Biometrie andrehen. Bis einem dann die Finger abgeschnitten werden[1].
Durch undurchdachte und kurzfristige Entscheidungen führen meist zu folgenschweren Effekten langfristig. Wer hätte gedacht, dass die konsequente steuerliche Förderung von Diesel, gegenüber Benzin, derartig nach hinten los geht? Sinniger wäre vermutlich eine höhere KFZ-Steuer gemessen am CO/2-NOx Ausstoss nach Personen/Frachtkapazität. Damit hätte man das Ziel gefördert, nicht eine Technologie. Oder um in der IT zu bleiben, wer hätte gedacht dass die Zerschlagung von AT&T UNIX zersplittert, das ganze in ein quellgeschlossenes Modell umwandelt wo vorher Quelloffenheit schlichtweg der Normalfall war und den Aufstieg von Monopolen befeuert.
Technik:
SHA1 ist gut, war mal gut, für Sicherheit eher nicht mehr. MD5 hielten die Leute auch für toll. Und schaut das Unglück an - SSL. Praktisch hat der Webbrowser nur eine Liste von CAs, denen blind vertraut werden muss, dadurch wird Zwischen-CAs blind vertraut und dann macht das Ding ein grünes Schloss dran an eine Umlautdomain mit lustigen kyrillischen Schriftzeichen. Das hat mit Vertrauen wenig zu tun. Wie es richtig gemacht wird zeigen PGP und Signal. Der Nutzer prüft manuell eine Art von Zertifikat oder Schlüssel und sagt dann "Ja. Ich vertraue diesem Ding". Folglich gehört das SSL-Zertifikat mit QR-Code auf den Vertrag fürs Onlinebanking gedruckt! Wenn man das Leuten nur fachlich erklärt, verstehen sie es auch
Die IT:
Wer bringt den Admins endlich bei, dass ein ständiges ändern eines persönlichen Passworts kein Sicherheitsgewinn ist. Es handelt es sich nicht um ein generelles Kenntwort wie im Römerlager, das sich alle teilen müssen. Ein Passwort ist persönlich und geheim. Es wird dann richtig schlimm, wenn man Nutzer daran hindert gute Passwörter zu verwenden, indem man die merkwürdigsten Regeln aufstellt (einmal Großbuchstabe, einmal Kleinbuchstabe, nur diese Sonderzeichen, aber nicht diese und dann genau so lange...). Dann erntet man halt:
Schalke04 oder besser Frühjahr_01, Sommer_02, Herbst_03 und Winter_04. Wieso? Weil das in der Praxis funktioniert! Es geht schlimmer, Microsoft:
Bei Windows 10 muss man drei sehr leicht zu erratende Sicherheitsfragen aus insgesamt sechs(!) Sicherheitsfrage auszuwählen. Und man wird mehrfach angemahnt gefälligst alle persönlichen Daten in die Cloud hoch zu laden. Sicherheit wäre, wenn der Login die nächste halbe Stunde gesperrt wird und nicht so ein extra Hintertür. Ich habe eigentlich gedacht, dass Sicherheitsfragen seit etwa 2010 ausgestorben sind, weil die so extrem gefährlich sind.
Mal was positives. Die beste Innovation in diesem Bereich sind diese Fortschrittsbalken die zu einem ausreichend langen Passwort animieren, erst rot, dann gelb und grün. Und wenn das Passwort auch nur aus Sonderzeichen besteht, besser zehn davon, als nur fünf wie im klassischen Onlinebanking.
Und zu guter, 123456. Das ist ein legitimes Passwort. Da heisst nur, dass der Nutzer zur Vergabe eines Passworts gezwungen wurde, obwohl der Nutzer offenbar weder Personendaten speicher möchte noch einer dauerndes Interesse an der Einrichtung hat. Ganz ehrlich? Ich tippe zu gerne irgendwas ein und vergesse es. Wenn es nötig ist, wird ein Passwort zurückgesetzt - fachlich korrekt wäre das wohl als One-Time-Passwort zu bezeichnen.
Grundsätzlich:
Der Fehler ist, dass es in der IT immer darum geht so schnell wie möglich eine bequeme Lösung anzubieten, anschliessend die kritische Masse an Nutzer zu erreichen und dann die Konkurrenz durch Inkompatibilität auszuschalten. Das funktioniert in der IT viel besser als in allen anderen Industriezweigen, weil Software sich mit geringen Kosten duplizieren lässt und Software für Menschen abstrakt ist. Fakten und Eigenschaften zählen nicht und in der Regel bedeutet Herdentrieb nur den bequemen Weg zu wählen. Daher haben wir so viele Monopole in der IT und Sicherheit kommt da eben als letztes, erstmal muss man schneller mehr Nutzer haben als der andere Verein oder man verliert.
Wären Autos wie Software, hätten 90% aller Autofahrer ein Auto von gleichen Hersteller und dabei 50% auch noch das gleiche Modell. Merkwürdiger Weise, wären damit ziemlich viele Menschen unzufrieden.
Und dazu müsste man wohl wirklich Gesetze ändern, offene Schnittstellen und Interoperabilität überall erzwingen. Nicht eine speziellen Weg X.
Und es bräuchte sowas wie Verbraucherampeln, die Reparierbarkeit, autarken Betrieb oder notwendigen Internetzugriff, quelloffen/quellgeschlossen Code, Wartungshandbücher und Ersatzteilverfügbarkeit verständlich , aber vor allen Dingen, sichtbar machen.
PS: 2FA ist nett und es gibt genau eine gute mir bekannte Implementierung, chipTAN. Eine separate Bankkarte und das Passwort des Kontoinhabers. Da haben die Banken und Sparkassen wirklich etwas bewegt und das unbemerkt, obwohl doch so viele es nutzen. Und weil es nachvollziehbar und einfach ist funktioniert es. Leider haben sie dann PushTAN auf Smartphone gebracht, wo das Smartphone aber ins Internet kann und eine OnlinebankingApp hat. Zweiter Faktor? Wo vorher separate Hardware war ist jetzt ein Problem.
Tut mir leid, für den vielen Text.
[1] http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm
Benjamin
SvenS
Sicherheit by Design wäre ganz simpel herzustellen durch die Ausweitung der Haftung auf Software. Meinethalben mit einer grundsätzlichen und produktlebenslangen Möglichkeit das per Update zu fixen bevor das als wesentlicher Mangel der zur Wandlung berechtigt angesehen wird. Würde das IoT Problem und ranzige Plasterouter lindern.
Solange sich aber große Teile der Politik nur von Lobbyvertretern beraten lassen und selbst nicht in der Lage sind auch nur grundsätzliches zu verstehen oder zu hinterfragen, wie gesagt, wird sich sehr lange nichts ändern.
Engywuck
Auch bei Verpflichtung auf "produktlebenslangem Fix" kommt man schnell in diese Richtung (wie wird das Insolvenzrisiko abgesichert?)
Was möglich wäre: Beschränkung der Haftungshöe auf (Lizenz-)Kosten mal Faktor (bei Open Source also Null), Angabe von geplanter Lebensdauer usw. Aber das ist dann nicht mehr "einfach nur" "Produkthaftung".
SvenS
Aber es wäre ja schon ein erster Schritt erstmal Firmware einer Haftung zu unterwerfen. Software ist mittlerweile zu so einem zentralen Bestandteil vieler Produkte geworden, aber de facto kann die so grottig sein wie sie will und der Hersteller zuckt nur mit den Schultern.
Engywuck
Außerdem fängt es schon damit an, zu definieren, was fehlerhaft ist. "Es werden während der üblichen Lebensdauer von Software Lücken gefunden" reicht hier nicht (ganz abgesehen davon: wie lange "lebt" Software?). Stattdessen müsste nachgewiesen werden, dass wenigstens (grob) fahrlässig gehandelt wurde, der Programmierer also die "erforderliche Sorgfalt" nicht verwendet hat.
Da kommt man schnell in Auslegungsfragen. Ist SHA1 mit Salt zum Hash von Passwörtern sicher genug oder muss es mindestens PBKDF2 sein? Darf ein Browser weiter SSL unterstützen oder muss alles unter TLS1.3 unterbunden werden, da bekannt unsicher? Ist der Schaden durch "bestimmungsgemäße Anwendung" entstanden oder hat der Anwender die Software in nicht vorgesehenen Bereichen eingesetzt? (Fängt schon damit an, ob Kommunikation über Zeitzonen hinweg Fehler verursachen "darf", oder bei Ausführung in anderer Systemsprache wenn das Programm nur auf deutsch veröffentlicht wurde -- und endet irgendwann bei "NAS ist für internen gebrauch gedacht, wird aber per Port-Forwarding ins Internet gestellt")
Muss deiner Vorstellung nach ein Anbieter eigentlich nachbessern, wenn erst später Angriffsszenarien gefunden werden, an die vorher niemand gedacht hat, oder die für "nicht ausnutzbar" gehalten wurden? (Hardware-Beispiel: Spectre und Meltdown). Nach deutschem Haftungsrecht dürfte das nicht unbedingt der Fall sein.
Meines Erachtens sinnvoller wäre eine eigene Regelung - das Haftungsrecht ist einfach zu schwer anzuwenden:
- wer eine Software oder ein Gerät mit Software gegen Entgelt in Verkehr bringt hat anzugeben, wie lange die erwartete Lebensdauer des Produkts ist.
- In den ersten 30% dieser Zeit, jedoch mindestens ein Jahr, hat er dann kostenlose Updates für alle entdeckten Fehler bereitzustellen, im Rest der Zeit nur für grobe Sicherheitslücken (von außen ausnutzbar, "wormable" und ähnliches)
- sofern sinnvoll möglich muss das Update automatisierbar sein
- vorhandene Eigenschaften dürfen durch Updates nicht entfernt werden (aber ggf. deaktiviert, falls diese eine Sicherheitslücke enthalten)
- das Produkt muss in einem möglichst sicheren Zustand ausgeliefert werden (siehe Router-Richtlinie des BSI)
Simon
Dass die einzige sinnvolle Maßnahme zum Umgang mit Passwörtern die Verwendung eines Passwortmanagers ist sagt doch alles über die Qualität des Konzepts. Und Passwortmanager sind meist noch sehr weit weg von einer wirklich bequemen, sicheren UX.
Solange es Passwörter gibt werden die Probleme mit recycelten, geleakten, ungehashten, gephishten, … Passwörtern nicht aufhören.
Hoffen wir auf WebAuthn, aber da muss noch mehr passieren (bspw. Keybasierter Login bei anderen Diensten wie IMAP/SMTP, wo 2fa nicht funktioniert).
Arne
Daher hilft nur: Ruhe bewahren. Keine populistischen einfachen Lösungen propagieren. Sondern abwarten, und sobald Details bekannt werden, sachlich über Ursachen und mögliche Lösungen diskutieren. Aber damit kann man nicht die aufmerksamkeitsorientierte Medienwelt befriedigen.
Und man fällt damit nicht auf, und findet dadurch in der Berichterstattung nicht statt.
Ein trauriges Beispiel, wie Nachrichten heutzutage verbreitet werden.
Malte
So ganz trifft es "selbst schuld" dennoch nicht: Ich kann meine Daten noch so gut gesichert haben, aber wenn mein Kommunikationsgegenüber das nicht geregelt bekommt, sind meine privaten Urlaubsbilder unter Umständen trotzdem kompromittiert. Und das braucht ja nur Mal die WhatsApp an die Schwiegermutter sein.
gameLag
John Doe