18 Millionen Zugangsdaten und journalistische Verantwortung

Disclaimer: Ich versuche mich heute an einem gewagten Spagat. Einerseits rege ich mich über die Ereignisse rund um die 18 Millionen kopierter Zugangsdaten sehr auf. Andererseits arbeite ich bei einem der betroffenen Unternehmen, darf und werde natürlich keine Internas ausplaudern. Ich werde daher nicht alle Kommentare unter diesem Artikel beantworten. Und natürlich enthält er keine Internas.

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind 18 Millionen Mailadressen mit Passwörtern in die Hände gefallen. Allgemein öffentlich bekannt wurde dies vergangenen Donnerstag, als der Spiegel in einer Topnews darüber berichtete. So weit, so schlecht für die Betroffenen.

Bis hierhin könnte man denken, dass alles normal verlief. Die Presse erfährt von einer Aufsehen erregenden Nachricht und berichtet, wie es ihre Pflicht ist, darüber. So weit, so schlecht für die Betroffenen.

Wie, schlecht für die Betroffenen? Warum ist Berichterstattung schlecht?

In der Haut des BSI

Um die These zu verstehen, dass Berichterstattung über ein Datenleck den Schaden für Betroffene vergrößern kann, muss man sich in die Lage des BSI versetzen.

Was kann das BSI tun, nachdem es diese Daten erhalten oder von ihnen erfahren hat? Die folgende Liste ist sicher nicht vollständig, sollte die Problematik aber verdeutlichen. Das BSI könnte …

  • … versuchen, alle Betroffenen selbst per Mail anzuschreiben? Moment, Mails mit Warnhinweisen auf einen Zugang versenden, der höchstwahrscheinlich vom Angreifer ebenso mitgelesen wird? Keine gute Idee. Er könnte diese Nachrichten einfach vor dem Nutzer löschen.
  • … eine Webseite zur Abfrage bereitstellen? Aber dann könnte das jeder für beliebige Accounts prüfen. »Hey, dein Account wurde gehackt!« Keine gute Idee.
  • … eine Webseite zur Abfrage bereitstellen und per Mail informieren? Schon besser, denn der Angreifer weiß nicht wann die Mail für einen Account ankommt. Vor dem Nutzer löschen ist dasmit wesentlich schwerer, aber er kann es noch immer. Auch nicht gerade eine helle Idee. Aber immerhin die beste bisher.
  • … mit den Providern zusammenarbeiten? Vielleicht haben die bessere Möglichkeiten zur Kommunikation mit ihren Kunden?
  • … die Öffentlichkeit informieren?

Moment? Öffentlichkeit informieren? Wie der Spiegel es getan hat? Das ist es doch!

Die Öffentlichkeit informieren?

Überlegen wir uns was passiert, wenn die Öffentlichkeit zuerst informiert wird. Im Wesentlichen geschehen drei Dinge:

  1. Kein Nutzer wird gewarnt, denn niemand weiß, ob man selbst persönlich betroffen ist. Kein Nutzer kann gezielt auf eine abstrakte Gefahr reagieren.
  2. Der Angreifer wird gewarnt und kann reagieren. Für ihn ist die Gefahr konkret. Er weiß um welche Accounts es geht.
  3. Die Auflagen und Klickraten des Spiegels steigen.

Hmmm, das klingt also doch nicht mehr so gut. Außer für den Spiegel. Und den Angreifer.

Ok, dann gehen wir einen Schritt zurück.

Zusammenarbeit mit den Providern

Liegt auf diesem Weg vielleicht die Lösung begraben? Die Antwort ist ein klares »Jain«.

Provider ist nicht gleich Provider.

Es gibt Anbieter wie die Telekom oder Arcor, die ihren Kunden zusammen mit dem Internetzugang Mailaccounts verkaufen. Diese Anbieter haben meist valide Adress- und Kontodaten ihrer Kunden und stehen mit ihnen regelmäßig in Kontakt. So könnte man die Kunden zusammen mit der monatlichen Rechnung warnen, sofern diese per Briefpost zugestellt wird. Oder, falls die Kunden in der Lage sind valide Rechnungen per Mail von Viren zu unterscheiden, könnte man es hier auch per Mail zumindest einmal versuchen.

Da diese Anbieter im Mailbereich eine eher untergeordnete Rolle spielen und den Telefonanschluss üblicherweise ebenso verkaufen wäre sogar eine telefonische Warnung möglich. Ein paar hunderttausend betroffene Kunden hat man in nur wenigen Wochen durchtelefoniert.

Dann gibt es Hostinganbieter. Hier wird die Kontaktaufnahme schon schwerer, eine Telefonnummer ist oft nicht mehr vorhanden. Aber dennoch werden Rechnungen bezahlt und meist ist die Anschrift des Kunden bekannt.

Doch es gibt auch noch viele werbefinanzierte Freemailer. Und was haben die? Richtig, meist nichts. Die Kunden haben sich anonym registriert, keine oder falsche Kontaktdaten hinterlegt, die sie zudem jederzeit ändern können. Hier gibt es noch zwei Kontaktwege: Die Webseite oder wieder E-Mail. Beides nach erfolgreichem Login, der auch dem Angreifer zur Verfügung steht. Diese Anbieter kontrollieren den Markt für Maildienste in Deutschland.

Die Situation ist für alle Beteiligten äußerst aussichtslos. Die möglichen Auswege sind alles andere als risikofrei.

Oh Scheiße!

Jetzt merkt ihr was der Spiegel angestellt hat: Er hat den Angreifer gewarnt, nicht jedoch die Nutzer. Dieser konnte fröhlich hinterlegte Kontaktdaten und Passwörter ändern und somit alle Nutzer endgültig aus ihren Accounts aussperren. Denn nun könnten sie sich nicht mehr gegenüber Ihrem Mailanbieter zu erkennen geben. Scheiße, wa!

Ob der Angreifer dies getan hat wissen jetzt natürlich nur die 18 Millionen Opfer. Opfer von Cyberkriminellen und des Spiegels.
Hätte man die Nutzer jedoch zuerst informiert, hätten Nutzer und Angreifer zumindest gleich hohe Chancen sich in den Account einzuloggen. Nun stecken die Füße der Nutzer in Betonschuhen und der Angreifer hat einen Frühstart hingelegt. Ganz großes Kino!

Responsible Disclosure

Die Presse hat in diesem Fall vollkommen ihre Verantwortung vergessen. Ob aus Unwissenheit oder aus Profitgier kann ich nicht sagen.
Üblicherweise gibt man im Falle der Entdeckung von Sicherheitslücken den Herstellern ein paar Wochen Zeit, um das Problem zu beheben. Ich selbst bin hier Hardliner und würde diese Frist so kurz wie irgendwie möglich halten. Aber eine realistische Frist muss sein. Denn sonst bestrafe ich mit der Veröffentlichung nur die Nutzer.

Wenn ein Hersteller eines Produktes nicht reagieren sollte kann und muss man dennoch veröffentlichen, allein schon, um öffentlichen Druck aufzubauen. Dies war hier jedoch ganz klar nicht der Fall.

Und jetzt?

Dass die Presse über ihre Verantwortung nachdenken sollte ist wohl die Quintessenz dieser Zeilen. Doch die wenigsten Journalisten werden je von diesem Artikel erfahren.

Die Dienstanbeiter müssen natürlich auch höchste Sicherheitsstandards umsetzen, Passwörter gut gesalzen und gehasht speichern (nicht wie so oft geschrieben »verschlüsselt«). Auch Zwei-Faktor-Authentifizierung kann nicht schaden. Doch auch auf die gibt es inzwischen tagtägliche Angriffe.

Dennoch deuten die wenigsten Anzeichen darauf hin, dass diese Daten über Sicherheitslücken bei Dienstanbietern gesammelt wurden. Hierzu benötigt man relativ viel Know-How und meist auch Rechenleistung. Gänzlich ausschließen kann man es zwar nicht, die Nutzer jedoch basierend auf dieser Möglichkeit zu beruhigen ist blanker Wahnsinn.

Für die Nutzer bleiben die üblichen Tipps: starke Passwörter, die nicht wiederverwendet werden, ausschließliche Nutzung von verschlüsselten Zugängen, aktuelle Software und Virenscanner nutzen. Letztere helfen jedoch nur selten bei brandneuen Viren, wie wir sie jeden Tag per Mail und auf Webseiten erhalten. Achja: Diese Regeln gelten für Desktop, Laptop, Router und Handy. Die letzten beiden werden meist vergessen. Und fremden Rechnern sollte man grundsätzlich auch nicht trauen, denn auf deren Sicherheitsniveau kann man sich nicht verlassen.

Speichere in deinen Favoriten diesen Permalink.

2 Responses to 18 Millionen Zugangsdaten und journalistische Verantwortung

  1. Pingback:Geknackte E-Mail-Postfächer: Nach dem Hack ist vor dem Hack - Netzpiloten.de

  2. die 18mio sind ein kleiner fish was ebay passiert ist.
    Und selbst die sind nur klein zeugs.
    Jeder deutsche Shop der mind. 1n jahr besteht wurde, zu 99% schon mal hacked.
    Sei es verbuggte software seitens von shopware/xtcommerce/eshop/strato/magento oder andere. Alles ist hackbar.

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

zwei × eins =