Skip to content

Strengere Regeln für Anbieter? Strengere Regeln für's Hirn wären besser!

Statt strengere Regeln für Anbieter zu fordern, sollten sie lieber strengere Regeln für's Hirn fordern.

Ich bin ziemlich sicher, dass das, was in zahlreichen Medien als "Hack" bezeichnet wird, in Wirklichkeit nur Fleißarbeit (ohne die Straftat dabei beschönigen zu wollen) war, und zwar ganz stark darauf gerichtet, an welchen Stellen die Betroffenen entgegen jeder Empfehlung, wie man Passwörter vergibt, was man an wichtigen Dokumenten wo hin legt (und wohin nicht), und was man besser verschlüsseln sollte, gehandelt haben.

Ich neige ja fast dazu zu sagen: Selbst schuld.

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Uwe

ich warte ja noch auf eine Attributierung in Form von: die Russen waren's! wobei jeder, der in der IT arbeitet weiß, dass das ziemlicher Unfug ist. SPON hat aber schon mit einem geistigen Tiefflug vorgelegt: https://twitter.com/SPIEGEL_Politik/status/1081233580855099394

im heutigen clickbait Jornalismus sind Belege ja nur Arbeit und Wörter wie "Hackerangriff" ziehen besser

das wird irgendeins der üblichen Dinger gewesen sein: Passwörter schlecht/wiederverwendet, Antworten auf Sicherheitsfragen, die man googeln kann, auf Mailanhänge geklickt oder irgendeine Kombination daraus

Michael

Eine Verpflichtung 2FA anzubieten wäre sinnvoll.

Ansonsten stimme ich Dir zu: Dieser Hack war sehr wahrscheinlich „nur“ Social Engineering und nutzte die Bequemlichkeit der Betroffenen aus.

Benjamin

Denke auch das man da auch gesetzgeberisch durchaus produktive schritte machen kann:
- Verplichtung zu 2FA
- Verpflichtung, offene Authentifizierungsschnittstellen (OpenId/OAuth2) zu unterstützen

Gerade letzteres ermöglicht eigentlich erst, dass auch Nutzer ohne Passwortmanager ohne Passwortwiederverwendung und ohne übermäßiges 2FA-generve halbwegs sicher mit ihren credentials umgehen.

Benjamin

Warum? Weil man das Hirn leider nicht regulieren kann. Und wir momentan sehen, dass wir da ein gesellschaftliches Problem haben. Und mit der zunehmenden Digitalisierung der Gesellschaft hier eine sehr offene Flanke haben, über die echt fetter Schaden in krasser Breite mit wenig Aufwand betrieben werden kann.

Da macht es wenig Sinn, auf das Hirn von Menschen zu setzen, sondern wir müssen die Technologischen Rahmenbedingungen schaffen, dass Sicherheit by Design kommt.

hoschi

Ich hole aus.
Zunächst mal, ich vermute Manuel hat mit seiner Einschätzung recht.


Poltisch:
Bitte legt der Politik nicht auch noch Worte in den Mund, sonst schreiben die eine Sicherheitstechnik X vor und wir müssen damit leben. Egal wie schlecht oder gut die ist. Ein paar Jahre später ist 2FA wieder doch nicht so gut und irgend ein Politiker lässt sich dann Biometrie andrehen. Bis einem dann die Finger abgeschnitten werden[1].

Durch undurchdachte und kurzfristige Entscheidungen führen meist zu folgenschweren Effekten langfristig. Wer hätte gedacht, dass die konsequente steuerliche Förderung von Diesel, gegenüber Benzin, derartig nach hinten los geht? Sinniger wäre vermutlich eine höhere KFZ-Steuer gemessen am CO/2-NOx Ausstoss nach Personen/Frachtkapazität. Damit hätte man das Ziel gefördert, nicht eine Technologie. Oder um in der IT zu bleiben, wer hätte gedacht dass die Zerschlagung von AT&T UNIX zersplittert, das ganze in ein quellgeschlossenes Modell umwandelt wo vorher Quelloffenheit schlichtweg der Normalfall war und den Aufstieg von Monopolen befeuert.

Technik:
SHA1 ist gut, war mal gut, für Sicherheit eher nicht mehr. MD5 hielten die Leute auch für toll. Und schaut das Unglück an - SSL. Praktisch hat der Webbrowser nur eine Liste von CAs, denen blind vertraut werden muss, dadurch wird Zwischen-CAs blind vertraut und dann macht das Ding ein grünes Schloss dran an eine Umlautdomain mit lustigen kyrillischen Schriftzeichen. Das hat mit Vertrauen wenig zu tun. Wie es richtig gemacht wird zeigen PGP und Signal. Der Nutzer prüft manuell eine Art von Zertifikat oder Schlüssel und sagt dann "Ja. Ich vertraue diesem Ding". Folglich gehört das SSL-Zertifikat mit QR-Code auf den Vertrag fürs Onlinebanking gedruckt! Wenn man das Leuten nur fachlich erklärt, verstehen sie es auch ;)

Die IT:
Wer bringt den Admins endlich bei, dass ein ständiges ändern eines persönlichen Passworts kein Sicherheitsgewinn ist. Es handelt es sich nicht um ein generelles Kenntwort wie im Römerlager, das sich alle teilen müssen. Ein Passwort ist persönlich und geheim. Es wird dann richtig schlimm, wenn man Nutzer daran hindert gute Passwörter zu verwenden, indem man die merkwürdigsten Regeln aufstellt (einmal Großbuchstabe, einmal Kleinbuchstabe, nur diese Sonderzeichen, aber nicht diese und dann genau so lange...). Dann erntet man halt:
Schalke04 oder besser Frühjahr_01, Sommer_02, Herbst_03 und Winter_04. Wieso? Weil das in der Praxis funktioniert! Es geht schlimmer, Microsoft:
Bei Windows 10 muss man drei sehr leicht zu erratende Sicherheitsfragen aus insgesamt sechs(!) Sicherheitsfrage auszuwählen. Und man wird mehrfach angemahnt gefälligst alle persönlichen Daten in die Cloud hoch zu laden. Sicherheit wäre, wenn der Login die nächste halbe Stunde gesperrt wird und nicht so ein extra Hintertür. Ich habe eigentlich gedacht, dass Sicherheitsfragen seit etwa 2010 ausgestorben sind, weil die so extrem gefährlich sind.

Mal was positives. Die beste Innovation in diesem Bereich sind diese Fortschrittsbalken die zu einem ausreichend langen Passwort animieren, erst rot, dann gelb und grün. Und wenn das Passwort auch nur aus Sonderzeichen besteht, besser zehn davon, als nur fünf wie im klassischen Onlinebanking.


Und zu guter, 123456. Das ist ein legitimes Passwort. Da heisst nur, dass der Nutzer zur Vergabe eines Passworts gezwungen wurde, obwohl der Nutzer offenbar weder Personendaten speicher möchte noch einer dauerndes Interesse an der Einrichtung hat. Ganz ehrlich? Ich tippe zu gerne irgendwas ein und vergesse es. Wenn es nötig ist, wird ein Passwort zurückgesetzt - fachlich korrekt wäre das wohl als One-Time-Passwort zu bezeichnen.


Grundsätzlich:
Der Fehler ist, dass es in der IT immer darum geht so schnell wie möglich eine bequeme Lösung anzubieten, anschliessend die kritische Masse an Nutzer zu erreichen und dann die Konkurrenz durch Inkompatibilität auszuschalten. Das funktioniert in der IT viel besser als in allen anderen Industriezweigen, weil Software sich mit geringen Kosten duplizieren lässt und Software für Menschen abstrakt ist. Fakten und Eigenschaften zählen nicht und in der Regel bedeutet Herdentrieb nur den bequemen Weg zu wählen. Daher haben wir so viele Monopole in der IT und Sicherheit kommt da eben als letztes, erstmal muss man schneller mehr Nutzer haben als der andere Verein oder man verliert.

Wären Autos wie Software, hätten 90% aller Autofahrer ein Auto von gleichen Hersteller und dabei 50% auch noch das gleiche Modell. Merkwürdiger Weise, wären damit ziemlich viele Menschen unzufrieden.

Und dazu müsste man wohl wirklich Gesetze ändern, offene Schnittstellen und Interoperabilität überall erzwingen. Nicht eine speziellen Weg X.

Und es bräuchte sowas wie Verbraucherampeln, die Reparierbarkeit, autarken Betrieb oder notwendigen Internetzugriff, quelloffen/quellgeschlossen Code, Wartungshandbücher und Ersatzteilverfügbarkeit verständlich , aber vor allen Dingen, sichtbar machen.

PS: 2FA ist nett und es gibt genau eine gute mir bekannte Implementierung, chipTAN. Eine separate Bankkarte und das Passwort des Kontoinhabers. Da haben die Banken und Sparkassen wirklich etwas bewegt und das unbemerkt, obwohl doch so viele es nutzen. Und weil es nachvollziehbar und einfach ist funktioniert es. Leider haben sie dann PushTAN auf Smartphone gebracht, wo das Smartphone aber ins Internet kann und eine OnlinebankingApp hat. Zweiter Faktor? Wo vorher separate Hardware war ist jetzt ein Problem.

Tut mir leid, für den vielen Text.

[1] http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm

Benjamin

Wieso tut mir leid? Danke für den vielen Text und die vielen wertvollen Gedanken

SvenS

Solange große Teile der Gesellschaft und mithin auch die überwiegende Mehrheit der Politiker mit technischer Inkompetenz kokettieren ("von Technik hab ich so gar keine Ahnung") und sich auch noch wohl damit fühlen wird sich nichts ändern.

Sicherheit by Design wäre ganz simpel herzustellen durch die Ausweitung der Haftung auf Software. Meinethalben mit einer grundsätzlichen und produktlebenslangen Möglichkeit das per Update zu fixen bevor das als wesentlicher Mangel der zur Wandlung berechtigt angesehen wird. Würde das IoT Problem und ranzige Plasterouter lindern.

Solange sich aber große Teile der Politik nur von Lobbyvertretern beraten lassen und selbst nicht in der Lage sind auch nur grundsätzliches zu verstehen oder zu hinterfragen, wie gesagt, wird sich sehr lange nichts ändern.

Engywuck

Vorsicht bei Haftung auf Software, das kann ganz schnell unerwartete Konsequenzen haben. Nur ein Beispiel: Bei einer naiven Formulierung wären "Public Domain"/CC0 oder auch die meisten (alle?) Formen von Open Source nicht mehr tragbar. Letztlich bleiben dann nur Großkonzerne übrig, die sich (Prozess-)Risiken und eventuelle Schadensersatz-Forderungen leisten können.
Auch bei Verpflichtung auf "produktlebenslangem Fix" kommt man schnell in diese Richtung (wie wird das Insolvenzrisiko abgesichert?)

Was möglich wäre: Beschränkung der Haftungshöe auf (Lizenz-)Kosten mal Faktor (bei Open Source also Null), Angabe von geplanter Lebensdauer usw. Aber das ist dann nicht mehr "einfach nur" "Produkthaftung".

SvenS

Das wäre aus meiner Sicht mit einer einfachen Definition zu realisieren: Eine Einschränkung von Software die mit Hardware geliefert wird und Software die Verkauft wird hat bestimmte Qualitätsstandards sowie eine vorher definierte Update/Fix Strategie zu haben. Und schon ist Open Source und PD Software raus wenn man das richtig formuliert.

Aber es wäre ja schon ein erster Schritt erstmal Firmware einer Haftung zu unterwerfen. Software ist mittlerweile zu so einem zentralen Bestandteil vieler Produkte geworden, aber de facto kann die so grottig sein wie sie will und der Hersteller zuckt nur mit den Schultern.

Engywuck

das ist dann aber nicht mehr so einfach juristisch abzubilden mit "§xyz wer Software vertreibt haftet für jeden Schaden, der durch Fehler in ihr entsteht"

Außerdem fängt es schon damit an, zu definieren, was fehlerhaft ist. "Es werden während der üblichen Lebensdauer von Software Lücken gefunden" reicht hier nicht (ganz abgesehen davon: wie lange "lebt" Software?). Stattdessen müsste nachgewiesen werden, dass wenigstens (grob) fahrlässig gehandelt wurde, der Programmierer also die "erforderliche Sorgfalt" nicht verwendet hat.
Da kommt man schnell in Auslegungsfragen. Ist SHA1 mit Salt zum Hash von Passwörtern sicher genug oder muss es mindestens PBKDF2 sein? Darf ein Browser weiter SSL unterstützen oder muss alles unter TLS1.3 unterbunden werden, da bekannt unsicher? Ist der Schaden durch "bestimmungsgemäße Anwendung" entstanden oder hat der Anwender die Software in nicht vorgesehenen Bereichen eingesetzt? (Fängt schon damit an, ob Kommunikation über Zeitzonen hinweg Fehler verursachen "darf", oder bei Ausführung in anderer Systemsprache wenn das Programm nur auf deutsch veröffentlicht wurde -- und endet irgendwann bei "NAS ist für internen gebrauch gedacht, wird aber per Port-Forwarding ins Internet gestellt")

Muss deiner Vorstellung nach ein Anbieter eigentlich nachbessern, wenn erst später Angriffsszenarien gefunden werden, an die vorher niemand gedacht hat, oder die für "nicht ausnutzbar" gehalten wurden? (Hardware-Beispiel: Spectre und Meltdown). Nach deutschem Haftungsrecht dürfte das nicht unbedingt der Fall sein.

Meines Erachtens sinnvoller wäre eine eigene Regelung - das Haftungsrecht ist einfach zu schwer anzuwenden:
- wer eine Software oder ein Gerät mit Software gegen Entgelt in Verkehr bringt hat anzugeben, wie lange die erwartete Lebensdauer des Produkts ist.
- In den ersten 30% dieser Zeit, jedoch mindestens ein Jahr, hat er dann kostenlose Updates für alle entdeckten Fehler bereitzustellen, im Rest der Zeit nur für grobe Sicherheitslücken (von außen ausnutzbar, "wormable" und ähnliches)
- sofern sinnvoll möglich muss das Update automatisierbar sein
- vorhandene Eigenschaften dürfen durch Updates nicht entfernt werden (aber ggf. deaktiviert, falls diese eine Sicherheitslücke enthalten)
- das Produkt muss in einem möglichst sicheren Zustand ausgeliefert werden (siehe Router-Richtlinie des BSI)

Simon

Die einzige sinnvolle Lösung (neben 2fa) ist vom Konzept Passwörter weg zu kommen.

Dass die einzige sinnvolle Maßnahme zum Umgang mit Passwörtern die Verwendung eines Passwortmanagers ist sagt doch alles über die Qualität des Konzepts. Und Passwortmanager sind meist noch sehr weit weg von einer wirklich bequemen, sicheren UX.

Solange es Passwörter gibt werden die Probleme mit recycelten, geleakten, ungehashten, gephishten, … Passwörtern nicht aufhören.

Hoffen wir auf WebAuthn, aber da muss noch mehr passieren (bspw. Keybasierter Login bei anderen Diensten wie IMAP/SMTP, wo 2fa nicht funktioniert).

Arne

Was ist denn eigentlich passiert? Vermeintlich sichere Informationen wurden veröffentlicht. Woher diese Informationen stammen und wie derjenige, der sie verbreitet hat, daran gekommen ist, habe ich bisher nicht erfahren.
Daher hilft nur: Ruhe bewahren. Keine populistischen einfachen Lösungen propagieren. Sondern abwarten, und sobald Details bekannt werden, sachlich über Ursachen und mögliche Lösungen diskutieren. Aber damit kann man nicht die aufmerksamkeitsorientierte Medienwelt befriedigen.
Und man fällt damit nicht auf, und findet dadurch in der Berichterstattung nicht statt.
Ein trauriges Beispiel, wie Nachrichten heutzutage verbreitet werden.

Malte

Im Grunde genommen gebe ich dir Recht.
So ganz trifft es "selbst schuld" dennoch nicht: Ich kann meine Daten noch so gut gesichert haben, aber wenn mein Kommunikationsgegenüber das nicht geregelt bekommt, sind meine privaten Urlaubsbilder unter Umständen trotzdem kompromittiert. Und das braucht ja nur Mal die WhatsApp an die Schwiegermutter sein.

gameLag

(Kommentar entfernt)

John Doe

Dem kann man fast uneingeschränkt zustimmen. Ich bin mir nur nicht ganz sicher mit diesem komischen "PC", und das mit dem "gaming booster" solltest Du noch mal überlegen, besonders, wem du den androidst....

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
BBCode-Formatierung erlaubt
Formular-Optionen