Nur ein paar Memos

04.11.2010 um 10:15 Uhr

Datenschutz

von: Zwischenweltler

Aus gegebenem Anlass will heute mal ein paar Worte zum Datenschutz verlieren. Und weil ich auf diesem Gebiet überhaupt kein Fachmann bin, werde ich eher von menschlichen Aspekten und elementarer Logik ausgehen.

Eines Vorweg. Zu der Problematik, welche Shadoweyes so erregt, will ich nicht allzu viel sagen. Wenn so ein krankes Arschloch willkürlich Counter-Daten veröffentlicht, kann ich nur mit dem Kopf schütteln. Vor allem verstehe ich nicht, was derjenige damit bezweckt. Wenn er damit Leute warnen will, die von den Netzen großer Firmen aus während der Arbeitszeit bei Blogigo sind, dann hätte er das auch anders tun können – und zwar ohne die User direkt zu kompromittieren. Und solange mir die wirklichen Gründe nicht bekannt sind, kann ich nur wiederholen: hier ist ein krankes Arschloch am Werk, der sich unter dem Motto „Seht her, was ich alles von euch weiß“ Geltung verschaffen will.
An der Gerüchteküche, die um diese Geschichte wabert, werde ich mich jedoch nicht beteiligen, solange es keine handfesten Beweise gibt. Und wenn es sie geben sollte, würde das eher ein Fall für den Staatsanwalt.

Die meisten Datenlecks entstehen durch völlig simple Pishingmethoden, welche auf einer allgemeinen menschlichen Schwäche aufbauen: Faulheit und Nachlässigkeit.
Genauer, auf der Faulheit, sich mehrere Passwörter zu merken und diese ab und zu einmal zu wechseln.
Lasst mich mal folgendes Szenario entwerfen, um die Sache zu verdeutlichen. (Um es einfacher zu formulieren, setze ich mich selbst mal schnell als Bösewicht ein ;-) )
Nehmen wir also an, ich hätte Interesse am persönlichen Mailverkehr eines bestimmten Lesers meines Blogs. Dann brauche ich lediglich dessen Mailkonto und das Passwort. Und die beschaffe ich mir ganz einfach: Ich bastle eine Web-Seite, die etwas verspricht, was den betreffenden Leser interessieren könnte (private Fotos, geschützte Diskussionen oder einfach nur Kochrezepte). Diese Seite schütze ich mit einem Login-Mechanismus, bei dem man sich zunächst mit Email-Adresse und einem beliebigen Passwort anmelden muss.
Und was tut der neugierige Leser? Er meldet sich an. :) Und weil er zu faul ist, sich ein neues Passwort auszudenken, nimmt er einfach das, welches er für all seine geschützten Seiten verwendet (schlimmstenfalls nimmt er dasselbe Passwort sogar für sein Online-Banking).
Nun brauche ich nur noch sein Mailkonto (oder die Mailkonten – das lässt sich leicht probieren) zu öffnen und kann mich ausgiebig durchlesen oder sein Adressbuch verwenden und und und...
Und natürlich benutzt der Faule Max auch dasselbe Passwort bei Blogigo. Also mache ich mal schnell seinen Account dort auf, lese seine PNs und, wenn ich ganz böse sein will, ändere ich gleich mal noch eben sein Layout. Und weil es soviel Spaß macht, versuche ich das Ganze auch noch bei den diversen VZs, Spaces und Tubes etc...

Zugegeben, da steckt schon eine gute Portion krimineller Energie dahinter, aber ihr seht, wie leicht es gehen könnte. Und es gibt genug Psychopathen, die keine Skrupel haben, so vorzugehen.

Deshalb meine Bitte an Euch: Nehmt für jeden Account ein anderes Passwort und ändert dieses regelmäßig! Und tragt Euch niemals auf einer Seite mit Eurer echten Mailadresse ein (also niemals die verwenden, unter deren Namen ihr das Mailkonto öffnet), sondern lasst Euch vom Provider eine Mailaddy (besser gleich mehrere) geben, die möglichst keine Rückschlüsse zulässt.

Vorsicht, es sind Hacker unterwegs“, bekam ich eine Nachricht. Und trotz des Ernstes dieser Thematik musste ich grinsen. Nein, liebe Leute, ihr seid es selbst, die ihr euch (bildlich gesprochen) in die Fußgängerzone stellt und dort eure Visitenkarte samt Kontonummer verteilt.

Bitte passt auf Euch auf!!!

Kommentare zu diesem Eintrag:

  1. zitierenNachtwolf schreibt am 04.11.2010 um 10:35 Uhr:Kann mich deinen Worten nur anschliessen... warum sich die Mühe machen zu wollen etwas zu hacken, wenn es doch so wie du es beschreibst ( und in 90 Prozent der Fälle auch wirklich so abläuft) um so vieles einfacher geht.
  2. zitierenShadoweyes schreibt am 04.11.2010 um 11:05 Uhr:Ich kann mein Passwort NICHT ändern. Immer wenn ichs mache,sagt er mir,Bitte gib ein Passwort ein. Habs nun hundert mal versucht und komme mir reichlich BLÖD vor......
  3. zitierenZwischenweltler schreibt am 04.11.2010 um 11:10 Uhr:Bei mir geht's auch nicht. Ist das mal wieder 'ne Blogigo-Macke?
  4. zitierenaenne schreibt am 04.11.2010 um 19:43 Uhr:@Shadoweyes, @Zwischenweltler
    Ich hab das auch schon versucht und was soll ich sagen - es ging nicht!!!
  5. zitierenpicture_it schreibt am 04.11.2010 um 21:46 Uhr:Mist - ich krieg keine PNs, die man lesen könnte....

    *g*
  6. zitierenShadoweyes schreibt am 04.11.2010 um 23:24 Uhr:Ach,wenn jemand die lesen will und es verkraftet,WAS er da zu lesen bekommt.....;-) Das ist mir rehct egal. Die mit Mail Adressen udn sonst irgedwelche Daten lösche ich eh sofort nach speicherung in mienem HANDschriftlichen Adressbuch.;-)))))))
  7. zitierenNasoetwas schreibt am 05.11.2010 um 15:48 Uhr:Das ich das Passwort nicht ändern kann, habe ich schon vor einiger Zeit mal geschrieben als ich den Blog eröffnet habe. Was ist das für ein Anbieter?
  8. zitierenZwischenweltler schreibt am 05.11.2010 um 15:51 Uhr:Wir befinden uns hier auf einer Dauerbaustelle. ;-)
  9. zitierenNasoetwas schreibt am 05.11.2010 um 15:53 Uhr:Ich war 2005 schon mal bei Blogigo. Dachte, die hätten jetzt fertig gebastelt. Ist ja schon 5 Jahre her.
  10. zitierenNachtwolf schreibt am 05.11.2010 um 16:28 Uhr:@Nasoetwas
    Der Bauherr hat in der Zwischenzeit gewechselt. Der Neue scheinte vorher Möbelverkäufer gewesen zu sein. So überrascht er uns mindestens im halbjährlichen Takt mit immer neuen "Überraschungen". Hier kann man schon froh sein wenn der Blog am nächsten Tag noch da ist, du dich einloggen kannst und wenn du Glück hast sogar einen Eintrag verfassen kannst der noch am gleichen Tag publiziert wird. Mit der Zeit gewöhnt man sich dran oder wandert wo anders hin. Das ist BLOGIGO seit dem September 2006.
  11. zitierenVomFeuerkind schreibt am 09.11.2010 um 16:14 Uhr:Noch ein Tip zu den Passwörtern, der mir gerade wieder eingefallen ist: Wenn man keine Ahnung hat, was man für ein Passwort nehmen soll, dann bastelt man sich einen pasenden Satz zurecht. Bspw: "Ein Passwort für VomFeuerkinds Blog". Und dann setzt man Zahlen und Anfangsbuchspaben in groß und klein und ein paar Sonderzeichen ein. Das könnte dann so aussehen: "1pw4vFK&B" Mit der Eselsbrücke kann man es sich leicht merken und es ist "relativ" sicher.

    Aber aus meiner Firma weiß ich, dass prinzipiell jedes Passwort geknackt werden kann. Unseren H*acker lasse ich nie an meinen Rechner. Der braucht bloß Minuten und er hat den Rechner geh*ackt. Ein kleines Tool installiert, dass man auch noch frei im Internet runterladen kann und der spielt einfach jede Kombination aus Buchstaben, Zahlen, Sonderzeichen etc. durch, und weiß danach jedes Passwort. Da bleibt nur noch der Fingerabdruck. Aber vieles erleichtert man kriminellen Menschen, wenn man es zu einfach macht.
  12. zitierenZwischenweltler schreibt am 09.11.2010 um 16:26 Uhr:So so, jetzt hat uns das Feuerkind ihr Passwort verraten. Da wollen wir doch gleich mal in ihre PNs schauen. :)))
  13. zitierenVomFeuerkind schreibt am 09.11.2010 um 16:34 Uhr:Ha...! Natürlich ist das Feuerkind schlauer als du dachtest...
  14. zitierenZwischenweltler schreibt am 09.11.2010 um 16:56 Uhr:Das will ich in diesem Fall wohl hoffen! ;-)
  15. zitierenVomFeuerkind schreibt am 09.11.2010 um 17:16 Uhr:Ich verschlüssel in der Tat meine PW so. Aber in diesem Fall wird auch jede Abwandlung von da oben nicht weiterhelfen. Auch für Mail-Accounts nicht... brauchst du gar nicht versuchen...
  16. zitierenZwischenweltler schreibt am 09.11.2010 um 19:00 Uhr:...ich heiße doch nicht ********!
    Ach, lassen wir das besser. ;-)
  17. zitierenShadoweyes schreibt am 09.11.2010 um 19:58 Uhr:*grööööööööööööööööööööööööööhl*
  18. zitierenNasoetwas schreibt am 10.11.2010 um 05:57 Uhr:Ein Trojaner reicht völlig.
    Und was einmal über den Server geht, bleibt hängen.
  19. zitierenindalo schreibt am 15.11.2010 um 07:09 Uhr:Ihr macht mir Mut. Und da soll man's jemandem noch übel nehmen, wenn er Paranoia bekommt?
  20. zitierentrinidad schreibt am 17.11.2010 um 10:56 Uhr:Leider habe ich Deinen Eintrag erst jetzt gesehen. Sonst hätte ich viel früher reagiert.
  21. zitierenAquarius schreibt am 21.11.2010 um 17:01 Uhr:@Zwischenweltler: Du schreibst, dass du eine Nachricht mit Titel "Vorsicht, es sind Hacker unterwegs" erhalten hast. War dies eine offizielle Nachricht des Blogbetreibers? Auf dem Newsboard von Blogigo kann ich sie jedenfalls nicht finden, ich selbst habe auch keine derartige Nachricht erhalten. Wäre es nicht sinnvoll, diese Nachricht allen zugänglich zu machen, damit sie informiert sind und gegebenenfalls Maßnahmen ergreifen können?
  22. zitierenAquarius schreibt am 21.11.2010 um 17:28 Uhr:@Zwischenweltler:
    Auch ich habe diesen Blog gesehen und besucht. Ich kann nicht nachvollziehen, welche Beweggründe diese Blogerin / dieser Bloger mit seinem Eintrag bezwecken wollte. Datensätze aus der Zugriffsstatistik in einen Beitrag zu kopieren ist wahrlich keine besonders glorreiche Idee, um auf sich aufmerksam zu machen, eine "Meisterleistung" schon gar nicht. Desweiteren ist die Veröffentlichung dieser Daten aus datenschutzrechtlichen Aspekten bedenklich. Auf der anderen Seite lässt sich mit diesen Daten auch nichts weiter anfangen, eigentlich sind sie wertlos, ausser der Umstand der Erkenntnis, dass eben ein Computer mit der IP-Adresse XYZ um soundsoviel Uhr diesen Blog besucht hat. Grundsätzlich könnte sie / er versuchen mit diversen Werkzeugen auf den betreffenden Rechner einzudringen. In der Praxis dürfte dies aber nur schwer gelingen: Schutzmechanismen verhindern standardmässig die Zugriffe der Outbound-Verbindung in das interne Netz (Router /Gateway). Lokale Firewalls und normale AntiVir- und AntiRootKitProgramme verhindern ein weiteres eindringen. Nicht zu vergessen ist der Zeitfaktor: Private Netzwerke erhalten ständig eine neue externe IP-Adresse aus einem dynamischen Adresspool und somit kann sie / er nur zum Zeitpunkt der Inkenntnisnahme durch den Tracker aktiv werden. Firmennetzwerke mit statischen IP-Adressen sind gegen solche Angriffe noch wesentlich besser geschützt, da diese ständig angegriffen werden.

    Und noch ein Gedankengang: Wenn diese diese Blogerin / dieser Bloger vorhatte irgendwelche Aktionen durchzuführen, dann wäre es, nach meiner Meinung, absolut sinnfrei die potentiellen Angriffsziele zu veröffentlichen. Aus meiner Sicht war diese Aktion noch nicht einmal ansatzweise in irgend einer Art bedrohlich. Was sie / er damit jedoch erreicht hat, ist der Umstand, dass Anmwender mit fehlendem technischen Backround eventuell verunsichert worden sind. Hier hätte ich in deinem Beitrag etwas mehr Aufklärung erwartet. Schlussendlich würde ich mich als Laie durch deinen Beitrag eher noch mehr verunsichert fühlen, auch wenn du vermutlich etwas ganz anderes damit bezwecken wolltest.

    Du beschreibst in deinem Beitrag, wie durch Pishing (http://de.wikipedia.org/wiki/Phishing) an Accountinformationen gelangt werden kann. In der Praxis ist ein ganz erheblicher Aufwand nötig, um entsprechende Seiten zu entwickeln und dann die potentiellen Opfer gezielt auf diese Seiten zu locken. Generell ist dein dargestelltes Szenario möglich. Dein Aufruf für jeden Account ein gesondertes, sicheres, Passwort zu verwenden ist richtig und gut und kann gar nicht oft genug wiederholt werden.

    Schlussendlich möchte ich anmerken, dass dein Beitrag eher mehr Unsicherheit verursacht, als dass er Unterstützung bietet. Vermutlich hast du mit deinem Beitrag auch ein ganz anderes Ziel verfolgt, aber wer weiß das schon so genau?
  23. zitierenZwischenweltler schreibt am 21.11.2010 um 17:47 Uhr:Wieso, verdammt, nimmst Du diesen Typen in Schutz??? Hä? Man könnte glauben, Du hättest ein privates Interesse daran. :-O

    Im Übrigen werde ich mich dazu nicht mehr äußern. Dieser Typ wiegt sich in einer trügerischen Sicherheit (dabei hat er das Messer schon am Hals), da wäre jedes weitere Wort eines zuviel.
    Die Blogger sind zur Vorsicht aufgerufen. Nur das wollte ich erreichen. Und das hab ich auch.
  24. zitierenAquarius schreibt am 21.11.2010 um 17:52 Uhr:@zwischenweltler: Ich nehme diese Blogerin / diesen Bloger keinesfalls in Schutz und finde es auch nicht gut, was sie / er da gemacht hat. Ich betrachte es lediglich aus einer technisch, objektiven Sicht. Das Internet ist beileibe kein rechtsfreier Raum und wenn jemand meint, hier rechtswidrig agieren zu können muß sie / er mit den Konsequenzen rechnen.
  25. zitierenZwischenweltler schreibt am 21.11.2010 um 17:55 Uhr:Das sollten wir uns wohl alle ausdrucken und an die Wand heften.
  26. zitierenAquarius schreibt am 21.11.2010 um 17:59 Uhr:Korrekt!

Diesen Eintrag kommentieren

Bitte beachte: Gästebucheinträge in diesem Weblog werden erst nach Freigabe durch den Autor angezeigt.