Wenn Sicherheit der Bequemlichkeit weicht

Eldorado für Cyberspace-Ganoven

d'Lëtzebuerger Land du 22.04.2010

Nur ein paar gezielte Mausklicks, und schon erfährt der gewiefte Fahnder, was sein Verdächtiger im letzten Monat getan hat. Ab hier sind es nur noch ein paar weitere Mausklicks (gepaart mit einigen Gesetzesübertretun­gen) bis zum vollständigen Profil: Mit wem hat er wie lange wann und wo telefoniert, was hat er per Kreditkarte gekauft und wie viel Benzin/Diesel oder Gas hat er gekauft? Als Zugabe erfahren wir, dass beim Volltanken auch noch ein Paket Kaugummi mit Erdbeer-Kirschgeschmack, eine Dose Red-Bull und eine Schachtel Zigaretten gekauft wurden.

Fiktion ? Mitnichten, technisch sind alle Voraussetzungen erfüllt, die legalen Schutzmechanismen greifen leider nicht immer und das Schreckensgespenst „globaler Terror“ erweicht den Widerstand der Datenschützer.

Eine omnipräsente elektronische Datenverarbeitung erzeugt tagein tagaus Petabytes1 an personengebundenen Daten. Die koordinierte Zusammenführung dieser Daten wäre der datenschutztechnische Gau; durch Interpolation der Kreditkartenabrechnung des Bewegungsprofils des Mobiltelefon, der Kunden- und Treuekarten im Supermarkt, Kino, beim Onlineshop undsoweiter stünde zu einer gegebenen Person auf einmal Wissen zur Verfügung, welches selbst dem gesetzestreuen Bürger Schweißperlen auf die Stirn treiben könnte.

Doch genau das passiert zurzeit, schleichend aber scheinbar unaufhaltsam. Elektronische Pässe ließen sich dank RFID sogar aus der Distanz auslesen, die Swift-Diskussion2 ist noch nicht aus der Welt, und in Deutschland sorgt Elena3 für Aufregung rund um potentiellen Missbrauch.

Mittendrin zeigt in Luxemburg eine rezente Datenpanne beim Mobilfunkanbieter Tango, dass nicht nur die vorsätzliche Datensammelwut sondern auch Komfortanwendungen in Sachen Datenschutz realen Nachholbedarf haben.

Unter Komfortanwendungen sollte man alles verstehen, was es dem Benutzer erlaubt, möglichst von zentra­ler Stelle auf für ihn relevante Daten zugreifen zu können. Ein Beispiel ist hier Guichet.lu, wo zentral die Daten des Bürgers erfasst werden, der diese dann bequem von zu Hause, oder unterwegs, LuxTrust-geschützt verwalten und bei Bedarf an entsprechende Administration weitergeben kann. Interessant ist hier, dass der Bürger wiederkehrende Daten nur einmal eingeben muss, der Guichet übernimmt alles Weitere.

Beim sogenannten Webbilling hat der Kunde online, also über Internet, Zugriff auf seine Verbindungsdaten, kann jederzeit seine Rechnung einsehen und muss auch keine Papierrechnung mehr vom Anbieter erhalten. Ganz nebenbei verdient der Anbieter hier nicht unbescheiden mit. Veranschlagt man eine Kundenrechnung als Kostenstelle mit einem Euro, ergeben sich pro Monat, geht man von den Kundenzahlen aus, welche die Anbieter gerne ins Schaufenster stellen, leicht Ersparnisse im hohen fünfstelligen Bereich. Der Kunde übernimmt die Arbeit, muss sich einloggen, seine Rechnung kontrollieren und überweisen, oder, noch lieber, den Anbieter per Vollmacht ermächtigen, das Geld direkt vom Konto abzubuchen.

Mal ganz davon abgesehen, dass der Kunde hier einen Teilaspekt der Buchhaltung des Unternehmens kostenlos übernimmt, werden Türen zu Systemen geöffnet, beziehungsweise Verbindungen zwischen Systemen hergestellt. Hier lauern ganz reale Gefahren, denn jede zusätzliche Tür ist ein potentielles Einfallstor für Probleme, jede zusätzliche Verbindung ein datenschutztechnischer Fallstrick. Denn die Sicherheitsexperten sind sich einig : Hundertprozentige Sicherheit kann es nicht geben; jede zusätzliche Sicherheitsstufe erkauft sich durch einen reduzierten Bedienerkomfort.

Und genau darin liegt die Krux! Der Anwender will ohne große Umwege an alle seine Daten kommen, er will kein komplexes Passwort und vor allem will er keine mehrstufige Authentifizierung zum Beispiel durch den zusätzlichen Einsatz von Hardware.

Insofern kann man Tango nicht einmal vorwerfen, dass in ihrem System eine Sicherheitslücke aufgetaucht ist. Man muss ihnen aber vorhalten, wie mit dieser Panne umgegangen wurde. Zur Erinnerung: Die fehlerhafte Softwareprogrammierung erlaubte es ohne Hilfsmittel, ohne Vorkenntnisse und ohne große kriminelle Energie, die Datenbank des Providers offen zu legen. Einzelabrechnungen sowie Geheimnummern wurden für Unbefugte sichtbar. Schlimmer noch, das Problem wäre so einfach zu lösen gewesen, dass selbst ein unerfahrener Webprogrammierer es mit zwei Zeilen Code hätte abfangen können4.

Wahrscheinlich konnte kein „Badboy“ daraus einen Vorteil ziehen, allerdings nur, weil die „Goodboys“ sich schnell an den Provider gewendet haben und ihre Beobachtung mitteilten. Tango reagierte aus Sicht des Autors hier in der schlechtest möglichen Art- und Weise : Zuerst wurde das Problem geleugnet, anschließend heruntergespielt und letztendlich wurde denjenigen mit Justitia gedroht, die geholfen haben, eine Katastrophe zu vermeiden.

Auch wenn Tango sich nun mit dem unrühmlichen Titel der größten datenschutztechnischen Panne ausgezeichnet sieht, steht der Mobilanbieter nicht alleine dar. Er wird dicht gerfolgt von der Supermarktkette Cactus, welche mit der Kundenkarte eine ähnliche Schlappe hinnehmen musste, und vor einer knappen Woche dann das Opfer eines brasilianischen Hackers wurde. Auch wenn in diesem Fall die Seite nur umgelenkt wurde, zeigt dieses Beispiel doch, wie anfällig Strukturen sind, die vom Anwender eigentlich als sicher angesehen werden. Auch offi­ziel­le Stellen blieben nicht verschont: Das Unterrichtsministerium hat es mit der Transparenz schon mal etwas zu wörtlich genommen und stellte ungewollt Daten ins Netz, welche dort nicht öffentlich hingehörten, von den doch häufiger auftretenden „Pannen“ bei mySchool ganz zu schweigen. Nicht utopisch, sondern ganz real war ebenfalls eine Panne im Utopolis-Server, und heiß diskutiert (wenn auch nicht öffentlich) wurde eine Sicherheits­lücke bei Hotcity. Der geneigte Leser versteht, dass der Autor in all diesen Fällen bewusst oberflächliche Darstellungen wiedergibt, die Einstufung betreffend der Sicherheitsrelevanz geht in der Tat von „Schönheitsfehler“ bis zu „Datengau“.

Ausserdem sind die meisten Badboys keine Fahnder im herkömmlichen Sinne, sie sind auf der Suche nach dem großen und vor allem schnellen Geld. Was liegt da näher, als sich der Banken anzunehmen? Da die Magnetstreifen der Kreditkarten schon lange als „nicht mehr sicher“ eingestuft werden, reagierter der hiesige Betreiber und ersetzte sie durch Chips, die bisher als ungebrochen gelten. Leider bleiben die Magnetstreifen erhalten, da in den Nachbarländern die Chips noch nicht generell eingeführt wurden. Ein einseitiges Abschaffen der Magnetstreifen würde dazu führen, dass schlagartig die Zahl der Geschäfte, in denen man mit Geldkarte bezahlen kann, reduziert würde. Wäre der Anwender bereit, eine solche Einschränkung für ein Mehr an Sicherheit hinzunehmen?

Auch die Banken rücken mit ihren Onlinebanking-Verfahren ins Visier der Badboys, einige möglichen Einfallstore wurden vom Autor selber weiter gegeben – die Reaktion auf solche Mitteilungen sind allerdings meist enttäuschend, ja sogar erschreckend aus der Perspektive der Sicherheit.

Und wiederum stellt sich die Frage, ob der Anwender ohne weiteres bereit wäre, auf den Komfort zu verzichten, sein Konto weltweit verwalten zu können ? Zwar ist die LuxTrust-Initiative ein Schritt in die richtige Richtung, doch die Installation der erforderlichen Middleware ist, je nach Betriebssystem, alles andere als trivial; außerdem finden viele Anwender Stick/Token/Karte als unnötige Hürde.

Der zentrale Ansatz zur Besserung beruht allerdings auf einer nüchternen Feststellung : Es fehlt an einer allgemeinen Sicherheitskultur.

Gerade diese aber ist Grundvoraussetzung, damit auch technische Sicherungen greifen! Die Geheimzahl mag noch so sicher sein, wenn der Benutzer diese Zahl im Klartext auf die Karte schreibt, hat jeder Ganove leichtes Spiel. Das komplexeste Password wird zur Farce, wenn es leuchtend per PostIt vom Bildschirm geradezu dazu einlädt, es einmal zu probieren. Immer wieder warnen Social-engineering-Spezialisten davor, Passwörter zu verwenden, die man ohne weiteres erraten kann, und immer wieder bringen solche Experten es innerhalb von ein paar Minuten fertig, aus dem Umfeld „Schreibtisch“ das Passwort heraus zu orakeln. Hexerei ? Kaum, wenn die Unterschrift auf dem Bilderrahmen uns stolz den kleinen Tim, geboren am 01.04.2007, zeigt und das dazugehörende Passwort Tim01.04.2007 lautet. Außer dem Namen und dem Geburtstag ist dieses Beispiel bittere Realität.

Ist der Anwender also letztendlich selber Schuld an den Pannen bei Tango et al. ? Wohl kaum! Der Anwender muss als Laie angesehen werden, während die Anbieter die Spezia­listen sind. Von Ihnen müssen die Impulse ausgehen, nur sie haben das notwendige Know-How, Systeme aufzubauen, welche die größtmögliche Sicherheit bieten. Als positives Beispiel seien hier die Anbieter von Wifi-Accespoints angeführt. Noch vor ein paar Jahren wurden alle Accesspoints ohne Password ausgeliefert, beziehungsweise das Password war im Internet ohne weiteres aufzuspüren. Mittlerweilen werden diese Geräte mit individuellen Codes ausgeliefert.

Eine solche Vorgehensweise würde das Risiko bei den vom Kunden geforderten Komfortdiensten verringern und darüber hinaus die Sicherheitskultur fördern.

Es obliegt den Anbietern, die Kunden zu besagter Sicherheitskultur zu erziehen, die Kunden müssen in Kauf nehmen, dass nicht jede Operation jeden Orts machbar ist. Wer in der Großstadt den Schlüssel beim Einkaufen im Zündschloss lässt, muss damit rechnen, per Taxi nach Hause zu fahren, wer seine Daten online ungenügend schützt, riskiert, dass findige Ganoven die Taxikosten mit seiner Kreditkarte begleichen.

Der Autor hat einen Master in IT mit Schwerpunkt u.a. auf Computerforensik.
Pascal Tesch
© 2017 d’Lëtzebuerger Land