Immer wieder spannend zu lesen, welchem Dienst welche Nutzerdaten abhanden kommen. Es trifft ja nicht nur die Kleinen: im vergangenen Jahr wurden um die 150 Millionen Datensätze bei Adobe gestohlen, im Frühjahr entwendete eine Bande aus dem Baltikum die Daten von 18 Millionen Nutzerinnen und Nutzern aus Deutschland, und auch Apple, Groupon, E-Bay oder Amazon blieben nicht verschont. Was man damit anfangen kann schildert Brian Krebs ganz vorzüglich. Ich würde das im Ergebnis mal als ‚digitale Brandrodung‘ umschreiben. Denn das Problem ist nicht, dass der Account eines einzelnen Nutzers oder einer einzelnen Nutzerin geplündert wird. In meinen Augen ist das gesamte System ‚Business im Internet‘ gefährdet, wenn schon wenige gehackte Konten, wenige Details und etwas Engineering ausreichen um Identitäten in großem Ausmaß zu übernehmen.

Der Satz von den Usern, die ‚halt bessere Passwörter‚ benutzen sollen ist dabei eine Nebelkerze epischen Ausmaßes. Die gesamte Sicherheitsarchitektur ist verrottet bis ins Mark – und das ist nichts neues, denn Sicherheit war in den vergangenen 20 Jahren noch nie wirklich im Vordergrund der Anbieter. Man führe sich mal vor Augen, wie lange es gedauert hat, bis Finanzdienstleister Verfahren implementiert haben um das so profitable Geschäft mit dem Onlinebanking wenigstens halbwegs sicher zu machen.

Warum? Weil es Geld kostet. Und jeder Shop, der darauf verzichtet, Kunden- und Zahlungsdaten sicher und geschützt vor Zugriff aufzubewahren handelt genauso nach diesem Prinzip: was Geld kostet, das wird erstmal nicht gemacht. Jetzt die nächste Horrormeldung, und die macht deutlich, wo die Probleme liegen. Auch wenn Golem kein Fachmagazin für Sicherheit ist: die Meldung über 1.2 Milliarden (muss ich das ausschreiben?) gestohlene Passwörter lässt mich mehr tun als nur die Augenbrauen hochziehen, denn in dem Artikel sind ein paar Informationen enthalten, die es interessant machen.

Basis für den Hack waren anscheinend erst einmal der Hack von 420.000 Web- und FTP-Servern. Anscheinend ist es einfach, so etwas als Datenhalde zu benutzen, und ob FTP nun ein sicheres Protokoll ist oder nicht hat in der Vergangenheit noch nie wirklich interessiert. Reichlich Stoff also. Manchmal braucht man noch nicht einmal einen Dosenöffner – das hat Mozilla ja auch gerade vorgemacht. Diese Daten (insgesamt 4.5 Milliarden Datensätze) wurden nun – und das ist neu – in großem Stil mit anderen Daten zusammengeführt: Basis dafür war der Pool von geklauten Daten aus etlichen der oben zitierten Hacks, der nicht nur in dunklen Ecken des Internets verfügbar ist.

Bevor mir jetzt jemand mit dem Wort ‚Rechenzeit‘ kommt: was  NSA & Co können, das kann die Mafia (aus welchem Land auch immer) auch. Mit den zusammengeführten Daten, also Logins, Usernamen, SocialMedia- und Email-Accounts wurde dann ein Botnetz gefüttert, das den – so bezeichnet das Holdsecurity – wohl größten Sicherheitsaudit in der Geschichte das Internets durchgeführt hat. Systematisch und auf Basis der entwendeten Daten wurden Webseiten besucht und auf SQL-Lücken abgeklopft.

Wer das jetzt nicht weiß: SQL ist eine Datenbanksprache, die sowohl häufig verwendet wird als auch in meinen Augen etliche systematische Schwachstellen aufweist, wenn Benutzereingaben nicht sehr streng limitiert und validiert werden. So etwas kostet Geld, und das macht man nicht gerne wenn man den Fokus aufs Verdienen statt aufs Ausgeben legt. Anscheinend denken viele so – denn das Botnetz wurde auf den erwähnten 420.000 kleinen und großen Seiten fündig und konnte dort weitere Nutzerdaten erbeuten.

Zwischenfazit

Im Ergebnis kann ich jetzt mal fest halten, dass ungefähr die Hälfte aller Benutzeridentitäten im Internet als kompromittiert zu betrachten ist. Wenn Sie jetzt mit den Schultern zucken, weil Sie nicht wissen was das bedeutet: Wenn ich mit jemandem via Internet kommuniziere, in einem Shop einkaufen möchte oder Geldgeschäfte erledigen will wissen weder Endnutzer (also die Surferinnen und Surfer) noch Anbieter (also Unternehmen) mit wem sie es zu tun haben und wohin die Daten abwandern. Die Chance auf einen kriminellen Kontakt liegt bei 50 %, und die Chance auf Missbrauch auch.

Ich weiß das zwar im konkreten Einzelfall nicht, aber wer sagt mir dass der Kunde, der gerade Ware bestellt nicht in den Weiten der asiatischen Steppe sitzt statt in Pforzheim? Wer sagt mir, ob das Unternehmen, bei dem ich gerade mit Hilfe meiner Kreditkarte ein Buch kaufe wirklich in North Charleston residiert (und ob meine Daten, wenn es so ist, auch dort bleiben und nicht auf dem Schwarzmarkt landen)?

Um das mal ganz klar zu sagen: schuld sind daran nicht die Endkunden, die vielleicht ein Passwort aus der Top-100-Liste benutzt haben. Die Daten sind initial ja Unternehmen geklaut worden, die Sicherheit zwei Jahrzehnte lang auf die leichte Schulter genommen haben.

Beispiele: Die Idee zur Zwei-Faktor-Authentifizierung gibt es ja schon länger, in der Wildbahn trifft man sie erst seit dem vergangenen Jahr an. Die Idee zu sicherer Verschlüsselung von Passwörtern gibt es solange ich denken kann (jedenfalls in diesem Rahmen) – und trotzdem gehen bei Adobe Millionen von Passwörtern unverschlüsselt ab. Und wenn mal verschlüsselt wird, dann mit veralteten Verfahren. Es ist zum heulen.

Und auch, wenn ich an dem Desaster nicht beteiligt bin – mich trifft es auch, wenn knappe 40 % des Umsatzes im Einzelhandel in Deutschland  davon bedroht sind. Eine Delle von 1.5 % im Bruttoinlandsprodukt merken wir schon als heftige Rezession. Kann sich jemand vorstellen was passiert, wenn das hier knallt? Und warum das Ganze?

  • unzureichend abgesicherte Webserver, hauptsächlich von Unternehmen
  • ein oder nur sehr geringes Sicherheitsbewusstsein über Jahrzehnte hinweg
  • schneller Profit geht vor nachhaltigen Konzepten
  • Überforderung der Verantwortlichen
  • falsches Kostenbewusstsein

So, und ich setze mich jetzt in die Ecke und halte mir mal Augen und Ohren zu. Abwarten, was da kommt. Es wird nichts Gutes sein.

Der Nachklapp: Klar, es geht um Geld

Die Informationen zu diesem Hack stammen von der amerikanischen Firma Hold Security. Und die Services, die auf deren Webseite angeboten werden sind zur Zeit weder vorhanden noch kostenfrei nutzbar. Sicher ist die Veröffentlichung auch ein Fall für die Marketing-Abteilung. Am Grundprinzip jedoch ändert sich gar nichts: Die Identitätsdiebstähle der vergangenen Jahre demonstrieren sehr deutlich, auf welch tönernen Füßen ganze Geschäftsmodelle stehen.