Deutsch
English
Zum allerersten Mal beginnt der Blog mit einer Entschuldigung. Wie bereits erwähnt, zieht Ashampoo um und dabei bleibt manchmal etwas auf der Strecke. In diesem Fall war es der Server, welcher Ihnen sonst immer unsere netten Blog-Ankündigungen verschickt. Für den Fall, dass Sie in den letzten zwei Wochen keine Nachricht bekommen haben, sind diese Blogs ganz unten verlinkt. Aus dem vorletzten Blog ergab sich auch logisch das aktuelle Thema: Wenn 2,2 Milliarden E-Mail-Adressen mit Passwörtern auftauchen, woher kommen all diese Daten? Daher möchte ich über einen besonders folgenschweren und gut dokumentierten Vorfall schreiben, den inzwischen schon legendären Hack von Equifax. Denn selten waren verlorene Daten so sensibel und das Versagen der Verantwortlichen so groß!
Zuerst: Was ist Equifax? Equifax ist die größte Wirtschaftsauskunftei der Vereinigten Staaten, also vergleichbar mit unserer Schufa. Möchte man eine größere Anschaffung machen und muss die eigene Bonität sicherstellen, stellt die Firma Kreditkartendaten, Adressen, Fahrausweis-Infos, Bonitätsinformationen und die so wichtigen Social-Security-Karten-Daten bereit. Die Firma verkauft diese Informationen an Unternehmen, Geschäftskunden, Kreditgeber, Arbeitgeber oder Vermieter. Sie merken, viel sensibler und intimer können Daten kaum sein. Dennoch wurde Equifax im Mai 2017 gehackt – und das nach allen Regeln der Kunst. Und das ging so: Auf den Equifax-Servern lief die Software Apache Struts. Seit März 2017 war bekannt, dass Angreifer über Schwachstellen dieses Frameworks (wen es interessiert: SQL Injection und Insecure Direct Object Reference) vollen Zugriff auf die Systeme erlangen konnten. Es wurde eingehend gewarnt und schnell sichere Updates bereitgestellt. Diese Updates wurden aber zu spät und nicht auf alle Server aufgespielt, so dass Hacker ein leichtes Spiel hatten. Sie suchten im Netz nach Servern mit der fehlerhaften Software und schauten sich in alle Ruhe auf den Systemen von Equifax um, nachdem sie Zugriff hatten.
Was sie dort vorfanden, waren die Daten von über 145 Millionen US-Kunden und einer nicht genannten Zahl kanadischer und britischer Staatsbürger. Bei 145,5 Millionen Personen war gleich die Social-Security-Nummer (Sozialversicherungsnummer) dabei, womit Personen eindeutig identifiziert werden können. Über 200000 Kreditkartendaten, 99000-mal die aktuelle Anschrift, Führscheindaten und vieles mehr – der absolute SuperGAU im Bereich Datensicherheit. Dabei war dies nicht der erste Equifax-Hack 2017, bereits im März waren Eindringlinge im System, was man aber nicht öffentlich verkündete und anscheinend niemanden alarmierte. Auch die argentinische Equifax-Seite war ebenso löchrig. Wer dort Zugriff auf die Daten von Dritten erlangen wollte, musste für den Administrator-Zugang Benutzername und Passwort kennen. Jemand versuchte einfach „admin“ für beides und hatte zu seinem großen Erstaunen vollen Einblick in das System. Man möchte weinen!
Da das öffentliche Interesse an diesem Hack so groß war, wurden auch die Behörden eingeschaltet. Sie erkannten schnell, dass bei Equifax alles schiefgegangen war, was schiefgehen konnte. Die Lücke im System war bereits bekannt, es wurde betriebsintern per E-Mail gewarnt – doch der E-Mail-Verteiler war veraltet, gerade der zuständige System-Administrator bekam keine Mail. Ebenso suchte man selbst aktiv nach unsicheren Kandidaten, schaute aber nur in den Root-Verzeichnissen, die zahlreichen Unterverzeichnisse blieben unbeachtet! Zudem hatte Equifax seine Datenbanken nicht segmentiert (in kleinere Netze aufgeteilt). Benutzernamen und Passwörter waren im Klartext (also unverschlüsselt) auf einem Netzwerkspeicher abgelegt. Wer Zugriff hatte, konnte nach Belieben schalten und walten und auch beliebige Informationen über Einzelpersonen abrufen. Auch waren die Kundendaten nicht zusätzlich verschlüsselt, wer einmal Zugriff auf die Datenbanken hatte, konnte sich nach Lust und Laune bedienen.
Auch der Abtransport der großen Datenmengen nach dem Hack war kein Problem, denn es folgten weitere Pannen. Zwar hat Equifax Möglichkeiten, den ausgehenden Datenfluss zu analysieren (nennt sich Intrusion Detection), doch gab es hier ein weiteres Problem. Die ausgehenden Daten der Hacker waren verschlüsselt, um den Traffic zu verschleiern und das Analyse-System von Equifax hatte keine gültige Lizenz, um diese Daten zu entschlüsseln. Das Zertifikat war schon seit über einem Jahr abgelaufen und so konnten die verschlüsselten sensiblen Daten unerkannt auf die Reise gehen – 76 Tage lang! Zudem waren die Strukturen von Equifax „historisch gewachsen“ (immer eine Umschreibung für dezentes Chaos), weshalb die unterschiedlichen Datenbanken schlicht keine persönlich Verantwortlichen hatten. Man hatte munter expandiert, ganze 18 Firmen hinzu gekauft, doch wie das ganze Unternehmen sicher zu verwalten war, hatte man noch nicht herausgefunden. Dass es Probleme gab, IT-Vorschriften nicht umgesetzt wurden und Updates nur unzureichend eingespielt wurden, war seit 2015 bekannt. Ebenso wurde ein Jahr vor dem Hack vom Finanzdienstleister MSCI eindringlich gewarnt, wie schlecht die Sicherheit bei Equifax sei, man vergab bei einem Test null von zehn Punkten. Die Reaktion des Unternehmens war ebenfalls gleich null – mit den bekannten, verheerenden Folgen.
Datensicherheit umfasst viele Aspekte - wenn man sie denn beachtet
Sind Sie nicht immer noch nicht panisch schreiend aus dem Haus gerannt? Danke, denn es geht noch weiter. 8780 Firmen haben nach Bekanntgabe der des Hacks noch die alte, bekanntermaßen löchrige Version heruntergeladen und installiert. Wer auch immer dort für die IT-Sicherheit zuständig war, möge bitte 2 bittere Tage am Pranger verbringen. Bei gleich sieben großen Tech-Firmen fand man Server mit der prekären Software im Netz, obwohl der Equifax-Hack schon längst mit allen wichtigen Details in den Schlagzeilen erschienen war. Da kann man als Privatnutzer, der sorgsam auf seine Updates, Passwörter und Sicherheitsmechanismen schaut, nur den Kopf schütteln.
Soweit, so ärgerlich. Was nun aber folgte, hätte sich kein Ermittler ausdenken können: Gar nichts! Bis heute sind diese Daten, der funkelnde Goldschatz unter den Hacks, niemals in Umlauf gekommen. Man suchte die dunkelsten Ecke des Darkwebs ab, kontaktierte Strohmänner der Hackerszene, alles ohne Erfolg. Es gab auch keine Fälle von Datenmissbrauch, die man damit in Verbindung hätte bringen können. Daher haben Experten aktuell zwei Theorien. Vielleicht ist den Hackern erst später bewusst geworden, was sie für ein immens wichtiges Material erbeutet haben, so dass Sie nun doch Angst vor den mit Hochdruck ermittelnden Strafverfolgungsbehörden haben. Bieten Sie irgendwo die Daten an, gehen Sie damit immerhin ein erhöhtes Risiko ein, geschnappt zu werden. Die andere Option: Es könnten Geheimdienste am Werk sein. Ob man mit den Daten Identitäten zweckentfremden möchte oder Menschen in Geldnot für eigene Zwecke anwerben will, diese Daten könnten auch so eingesetzt werden. Vielleicht werden wir nie erfahren, wie dieser spektakuläre Fall endet.
Was mich interessieren würde: Hätten Sie solche Vorgänge für möglich gehalten? Sind Sie jetzt noch vorsichtiger, Daten von sich weiterzugeben?
Die "verlorenen Blogs":
Die Geister, die man rief – Mobs im Internet
2,2 Milliarden E-Mail-Adressen mit Passwörtern aufgetaucht – sind Ihre dabei?
Wieder mal ein interessantes Thema. Aber nicht neu. Ich hatte Anfang Dezember auf einen Bericht über gestohlene Mail-Adressen dies bei https://sec.hpi.uni-potsdam.de/ilc/search?lang=de geprüft und bin fündig geworden. Mail-Adresse nebst Passwort bereits 2013, betroffener Dienst: adobe.com.
Danach immer wieder Hinweise - wir Nutzer müssten unsere Passwörter besser schützen. Wieso ich? Meine Daten sind nicht von meinem PC gestohlen worden.
Anfang des Monats bei Heise-Online ein Kommentar der provokant genau diese Frage beantwortet: Steckt Euch Euren Ändere-dein-Passwort-Tag sonst wohin! Darin wird auch meine Frage beantwortet: „Wieso werden die User für geleakte Accounts und Passwörter verantwortlich gemacht? Zieht endlich die Online-Anbieter zur Verantwortung.“
Wieso sollte ich in Panik verfallen und versuchen, jetzt meine Passwörter zu verändern. Notfalls wie hier auch geschrieben mit einem Passwortgenerator generiert. Was nützt mich ein neues superstarkes Passwort, wenn es demnächst wieder bei meinem Online-Kontakt gestohlen wird und ich erfahre es nicht mal.
Übrigens: Wenn man solch ein zugestanden interessantes Medium wie das Internet umfänglich nutzt sollte man solide Kenntnisse über den Umgang mit Hard- und Software mitbringen. Dies gilt auch für die vielen Laien mit ihren Smartphones. Es ist mehr als intuitives Bedienen über Apps gefordert.
Datenverluste sind (leider) nicht neu, das stimmt. Aber sie nehmen leider zu, werden immer umfangreicher (weil immer mehr Daten gesammelt werden) und betreffen immer sensiblere Bereiche. Inzwischen ist man fast froh, wenn *nur* die E-Mail gehackt wurde.
Hallo zusammen,
verwunderlich? Nein, leider nicht!
Solche Datenskandale sind gefühlt so alt wie das Netz selbst. Wobei man sich nicht mal mehr sicher sein kann, ob das wirklich immer alles Zufall ist, oder ob da nicht einfach die von NSA/FBI/CIA und anderen Behörden geforderten „Hintertürchen“ ausgenutzt wurden – jedenfalls, wenn die Betroffenen Firmen Partner im PRISM-Programm sind…
Im Zuge der DSGVO stellt sich mir eh die Frage, wie Privatfirmen wie die SCHUFA mit dieser im Einklang stehen – ich habe dort niemals meine Zustimmung zur Datenerhebung und somit auch keine Zustimmung zur Weitergabe an 3. gegeben...
Aber zurück zu Ihrer Frage:
Nutzt man das Netz, so kommt man doch heutzutage gar nicht mehr um einen (teilweisen) digitalen Striptease herum:
- Klarnamen, Anschrift, sonst. persönliche Daten für e-Commerce, Foren, etc.
- Seiten nötigen Cookies auf, da sie sonst nur eingeschränkt/gar nicht funktionieren => Tracking, Profilerstellung, „personalisierte Werbung“
- etc
Und leider scheint das den Meisten egal zu sein. Das man in FF mit ein paar Addons wieder mehr Herr über seine Daten wird und zeitgleich noch das ganze unnötige Skriptgeraffel ausblendet und eine vernünftige übersichtliche Seite bekommt wissen leider nur die Wenigsten.
Von daher:
Solange Behörden und Privatfirmen ein Interesse an unseren Daten, aber kein Interesse an einer wirklich sicheren Speicherung (kostet ja Geld, geforderte „Hintertürchen“) haben, wird es diese Skandale immer wieder geben. Traurig aber wahr.
Abhilfe kann nur jeder Einzelne selbst schaffen, in dem er sich und sein eigenes Verhalten überdenkt und entsprechend ändert…
In diesem Sinne
A.N.
Tja, wieso wundert mich sowas überhaupt nicht?
- Systemadmins, die "ihr" System nicht kennen, weil sie nur als Nachfolger "angelernt" wurden
- Software, die nicht nach ihrer Sicherheit und Funktionalität ausgesucht wird, sondern nach dem Preis
- Updates, die verspätet oder gar nicht installiert werden
- Admins, die auf den Servern spielen und dafür Ausnahmeregeln in die Firewall einbauen oder diese sogar zeitweise deaktivieren
- Raubkopien von Spielen installiert wurden, natürlich immer mit den aktuellsten Viren
Als Angestellter einer kleinen Computerfirma habe ich auch Netzwerkpflege bei Firmen gemacht. Die oben geschilderten Dinge waren nur ein paar der vielen Vorfälle, die ich meinem Chef und dem Chef der jeweiligen betroffenen Firma gemeldet hatte. Ich mußte öfter einem Chef erklären, wieso sein Firmennetzwerk beim Zugriff auf einen Drucker mehrere Rechner abstürzen läßt oder keine Verbindung mehr zu wichtigen Mailboxen aufbauen konnte. Und wieso sein derzeitiger Systemadministrator für seinen Job absolut unqualifiziert war. Das Schlimme daran: je größer die Firma, desto mehr Narrenfreiheit hatte so ein Systemadmin und desto weniger schauten ihm Chefs über die Schulter. Dank meiner offenen Art und daß ich die Dinge beim Namen nannte, war ich in gewisser WEise gefürchtet, der Alptraum jedes schlechten Sysadmins. Aber es war auch ein Beruf, der sehr an den Nerven zehrte, und so habe ich damit aufgehört. Es wurde mit der Zeit immer mehr zu einem Kampf, der dem Kampf des Don Quijote gegen die Windmühlen ähnelte.
Firmenchefs möögen neue Software oder Systeme nicht, da die Mitarbeiter darauf neu geschult werden müssen. Das kostet Zeit und Geld. Egal wie veraltet ein System ist, wie unzuverlässig es in Punkten Sicherheit und Datenschutz ist, ein Wechsel ist unbequem. "Es wird schon nichts passieren, wir haben ja eine schützende Firewall" ist viel bequemer.
Darum wundert mich gar nicht, was da bei Equifax passiert ist.
Ein guter Freund ist auch als Berater in diesem Bereich tätig und erzählt mir immer mal wieder Anekdoten aus seinem Job. Was er mir dabei über Behörden, Versicherungen und große Versandhäuser offenbarte, brachte meine Vorstellung vom Lauf der Welt gehörig durcheinander. :) Pleiten, Pech und Pannen umschreibt es wohl am besten.
Unsere Daten werden nie sicher sein, auch dann nicht, wenn wir "gute Passwörter" verwenden. Warum ist das so? Weil viele Systeme einfach nicht genug abgesichert sind. Weil es viele Leute mit hoher krimineller Energie gibt. Weil Administratoren auch nur Menschen sind! Weil es leider sehr viele Menschen gibt, die komplexe Prozesse nicht verstehen und kurzfristige falsche Entscheidungen treffen. Admin Passwörter können durch Bestechung oder Erpressung verraten werden.
Genau das hatte ich erwartet, irgendwas mit Erpressung oder brillanten Hackern. Was aber kam, war irgendwo so unendlich doof... :)
Hallo,
ich habe schon immer, aber seit Win 10 ein verstärkt mulmiges Gefühl. ( updates konnten nicht installiert werden ... schalten Sie den Computer nicht aus. )
das geht so seit Wochen, wahrscheinlich sind meine Einstellungen eine Hürde für das auslesen meiner Daten.
Ich habe mehrere Win 10 Computer.
Zum Vergleich updates bei Linux Distros.
mit freundliche Grüßen
passt vielleicht nicht direkt in den blog, aber der win 10 blog ist schon durch.
Kein Problem, vielleicht ist ja jemand anderem etwas Ähnliches passiert?
Ich finde Ihren Blog immer wieder super! Ich gehöre offensichtlich mit einer mail-Adresse zu den Betroffenen.
Seit einiger Zeit schon beschäftige ich michmit dem Gedanken, einen Passwortmanager einzusetzen, aber zu dem Thema beschäftigt mich eine Frage, die mich bisher davon abgehalten hat.
Was ist, wenn aus irgendeinem Grund dieser PW-Manager beschädigt wird, oder aufgrund lizenzrechtlicher Bedingungen, Kauf der Software durch einen Mitbewerber etc. etc. nicht mehr funktioniert?
Wie kann ich dann meine diveresesten Zugänge wieder aktivieren? Ich kenne ja keine Passwörter, um sie z.B. wieder zu ändern?
Freundliche Grüße aus Österreich
Man kommt an die Passwörter wieder heran, die allermeisten Programme haben eine saubere Export-Funktion, wo sie die jeweiligen Internetseiten und die dazugehörigen Passwörter auch anzeigen. Sonst wäre man ja praktisch Geisel des Programms. :)
Sacra, Kruzitürken!
Mein erster Gedanke: dem Krumrey kann man auch nicht mehr alles glauben.
Dafür möchte ich mich entschuldigen.
Ich habe jetzt selbst mal ein bisschen recherchiert - und es stimmt leider wirklich. Alle denkbaren US Quellen schreiben in ihren Kommentaren ganz gleich.
Erschreckend? Ja.
Unerwartet und unmöglich? Nein.
Es muss sich etwas ändern! Aber was?
Die entsprechenden Vorschriften und Gesetze gibt es doch.
Sie werden nur nicht umgesetzt!
Es ist einfach ein Trauerspiel.
Liebe Grüße aus Flensburg
Dieter Striegel
Meine Sie, es ging mir anders, Herr Striegel? :) Ich habe ja mittlerweile ein dickes Fell, weil ich quasi wöchentlich recherchiere, aber hier dachte ich manchmal auch, dass "Verstehen Sie Spaß" Artikel in der Fachpresse versteckt hat.
Ich denke, in vielen großen Firmen geht Profitmaximierung vor Datensicherheit. Hauptsache, man kann anständig Kohle aus den Daten schöpfen. Die in Rede stehende Firma hat's vorgemacht. Und das ist nur die Spitze des Eisberges...
Hallo, wie finde ich heraus, wie meine Kundendaten bei einem Webportal verwaltet werden? Werden die Passwörter gehasht? Wenn ja, mit SHA256 o.ä? Werden die Passwörter gesalzen und gepfeffert? Leider antworten bekannte Konzerne nicht auf entsprechende Anfragen. Es sollte gesetzliche Mindeststandards geben wie mindestens SHA256 mit Verwendung von Salt.
https://de.wikipedia.org/wiki/Salt_(Kryptologie)
Ich glaube nicht, dass eine Firma da Auskunft geben muss, obwohl das durchaus interessant wäre. Ich weiß, dass die Passwörter bei uns gehasht werden, wir selbst haben da keinen Zugriff drauf. Was schade war, als ich in meiner Probezeit mein eigenes Passwort vergessen hatte und nachschauen wollte. :)
Guten Abend an Alle. Ich muss jetzt noch lächeln und konnte
das Lachen nicht halten, als ich Ihren Beitrag las. Und das,
nachdem ich gerade dabei bin, meine überschaubaren Pass-
wörter auf einen aktuellen Stand zu bringen. Müssen wir kleinen
User tatsächlich Angst haben wenn schon die Grossen ganz
locker mit riesigen Problemen umgehen?
Irgendwie ist es ja auch eine Tragikkomödie, als hätten Dick und Doof unsere Daten. :)
Hallo, leider halte ich dies für sehr gut möglich. Die Sammelwut ist gigantisch groß und sehr vielen Menschen ist dies völlig egal oder haben sich noch keine Gedanken dazu gemacht. Wie sonst wird das Sammeln von Fitness-Daten so akzeptiert oder der Spion im eigenen Haus! Wer sich Alexa und Co. einlädt, der ist auch bereit das Internet an allen Gesprächen im Hause teilnehmen zu lassen. Diese Lautsprecher sind ständig aktiv und mit dem Internet verbunden. Um einen Befehl zu erkennen wird alles was aufgenommen wird, erstmal nach Hause geschickt zum Auswerten, ob ein Befehl gesprochen wurden. Was passiert mit den bis dahin ausgewerteten Daten? Werden sie aufbewahrt oder gleich wieder gelöscht oder gleich entsprechend ausgewertet und dem User zugeordnet (schlimmster Fall). So wäre dann Alexa und Co. über jeden Konflikt, jede Planung oder die geheimen Wünsche bestens informiert. Wie Krank ist diese Welt oder ist Privat-Sphäre total egal? Hauptsache man muss zum Lichteinschalten nicht aufstehen!
Au Backe und ich habe immer gedacht, die SCHUFA wäre ein Saftladen, weil dort teilweise noch Uraltdaten gespeichert sind. Jetzt sind diese Hacker bei Equifax ja nicht durch die Hintertür, sondern durch den Haupeingang marschiert. Vielleicht könnte man auf diese Art und Weise ja auch die eigene Bonität etwas "verbessern". :)
Ehrlich gesagt, ich wundere mich über nichts mehr. Man kann das alles nur noch zähneknirschend zur Kenntnis nehmen und hoffen, dass es einen selbst nicht so hart trifft. Was nützt es, wenn man seine Passwörter pflegt und solche Firmen derart schlampen. Mein Misstrauen gegenüber den amerikanischen Datensammelunternehmen wie Facebook und Co ist jetzt noch größer geworden. Die ersten Datenpannen sind da ja auch schon bekannt geworden. Nur die Spitze des Eisbergs??
Abgesehen davon nervt die aus der Sammelwut resultierende Werbung, die man mittlerweile pausenlos um die Ohren gehauen bekommt, allmählich immer mehr. Wäre das evtl auch mal ein lohnendes Thema für einen Blog?
Als ich den unveröffentlichten Text ein paar Freunden aus diesem Geschäftsbereich zu lesen gab, kam gut 10 Minuten keine Antwort. Das hat sie wohl auch etwas geschockt. :)
Der oft Albert Einstein zugeschriebene Spruch "Zwei Dinge sind unendlich, das Universum und die menschliche Dummheit. Aber beim Universum bin ich mir noch nicht ganz sicher" hat mal wieder seine Gültigkeit unter Beweis gestellt. Und schon japanische Autobauer wissen "nichts ist unmöglich" . Somit ist für mich gut vorstellbar, dass sich die Vorgänge so wie beschrieben zugetragen haben. Wobei die Nachlässigkeiten nach dem Motto "wird schon gut gehen" mit der Größe eines Unternehmens zu korrelieren scheinen, je größer desto Murks. In großen Unternehmen kann Verantwortung oft leicht weiter geschoben werden bis es letzlich keiner war bzw. ein Bauernopfer gefunden ist.
Für mich gilt, seit ich mich im www tummle, persönlichen Daten so sparsam wie nur möglich rauszurücken, beziehungsweise bei Käufen den örtlichen Einzelhandel, so lange der Aufwand nicht enorm wird, zu unterstützen.
Übrigens: Das Thema ist so interessant, dass es auch den zweiten Blog rechtfertigte. Und ich wage die Prophezeiung: Es war nicht der letzte dazu.
Das glaube ich auch, Herr Selg. Ich konnte jetzt zwei Schlaglichter auf ein riesiges Thema werfen, irgendwann kommt bestimmt Teil 3.
ja, habe ich für möglich gehalten. Da gibt es bestimmt noch mehr, was noch nicht aufgedeckt wurde. Aber was soll man machen … nicht mehr online bestellen. Keine Schufaauskünfte anfordern und somit auch keine Wohnung bekommen, weil die Auskunft verlangt wurde.
Da kann man nur gar nicht mehr online gehen …
Mir ist schon klar, dass es immer mehr russisch Roulette wird, ob die eigenen Daten gestohlen werden. Aber wenn ich in den Supermarkt gehe, klauen sie auch. Mir meine Geldbörse mit allen Ausweisen. Ärgerlich auch deshalb, weil man alles neu besorgen muss, vom Führerschein bis zum Personalausweis und die Kreditkarten und andere Ausweise. Damit kann jemand auch schon genug Schindluder treiben oder sie lesen die Kreditkarten aus, während man sie "sicher" in der Tasche hat.
Ja … was nun? 100 %ige Sicherheit gibt es auch bei aller Vorsicht nicht.
Und ich dachte schon, nur ich sei so skeptisch. :) Wobei ich ehrlich sagen muss, dass ich so ein Versagen auf breitester Front nicht bei so einem Unternehmen für möglich gehalten hätte.