Auge: Wo ist der Schlüssel?

Hallo

Wahrscheinlich ist die Nachricht einigen von euch schon untergekommen. Dem Betreiber der ehemaligen Portale mitfahrzentrale.de [1] und mitfahrgelegenheit.de sind Kundendaten dieser Portale „abhanden gekommen“. Die Portale gibt es nicht mehr, aber die verschlüsselte Kundendatenbank liegt in der Cloud. Von dort wurde sie von Angreifern kopiert.

Nun frage ich mich schon, warum eine solche Datenbank mit nicht mehr genutzten Daten außerhalb der „eigenen vier Wände“ gelagert wird. Das, auch wenn eine Verschlüsselung zum Schutz vor unbefugtem Zugriff ganz nett scheint. Hanebüchen wird es aber, wenn man den Schlüssel zum Zugang zu den Daten gleich mit in der Cloud speichert [2].

Und um die Frage aus dem Betreff zu beantworten, er ist unter dem Fußabtreter. Und jeder darf es wissen. Ist ja wie bei Facebook oder Twitter, wo jeder Dritte [3] lang und breit über die Abwesenheit vom zwei Nachrichten zuvor genauestens beschriebenen Heim berichtet.

Manchmal ist die Realität absurder, als man es sich in seinen krudesten Phantasien ausma… Naja, nicht ganz, aber nahe dran.

Tschö, Auge

--
Wo wir Mängel selbst aufdecken, kann sich kein Gegner einnisten.
Wolfgang Schneidewind *prust*

  1. Gab es da nicht mal eine juristische Auseinandersetzung über die Benutzung dieses, eine ganze Branche beschreibenden, Namens für das Angebot eines Anbieters? ↩︎

  2. Siehe dazu das Update des oben verlinkten Heise-Artikels. ↩︎

  3. Dies ist eine bewusste Zuspitzung ohne belastbare Zahlen. ↩︎

  1. @@Auge

    Und um die Frage aus dem Betreff zu beantworten, er ist unter dem Fußabtreter. […]

    Manchmal ist die Realität absurder, als man es sich in seinen krudesten Phantasien ausma… Naja, nicht ganz, aber nahe dran.

    Und die Nachrichten tönen dann wieder „Hackerangriff!!“ – wie erst vor wenigen Tagen.

    Dabei steckt ganz einfach Schlamperei der Portalbetreiber bzw. Hardware-Hersteller/-Vertreiber dahinter.

    LLAP 🖖

    --
    „Wenn du eine weise Antwort verlangst, musst du vernünftig fragen.“ —Johann Wolfgang von Goethe
    1. Tach!

      Und die Nachrichten tönen dann wieder „Hackerangriff!!“ – wie erst vor wenigen Tagen.

      Dabei steckt ganz einfach Schlamperei der Portalbetreiber bzw. Hardware-Hersteller/-Vertreiber dahinter.

      So einfach ist es nicht. Ich sehe da ein sowohl als auch. Auch wenn ich vergesse, meine Tür abzuschließen, und man mir das als Schlamperei vorwerfen oder gar eine Mitschuld sehen kann, berechtigt das noch lange nicht, dass jemand den Raum auf eigene Weise nutzt. Ebensowenig finde ich den Versuch gut, die Augen der Öffentlichkeit auf die Einbrecher zu lenken um von eigenen Fehlern abzulenken und auch um die Verantwortung gegenüber den Kunden herunterzuspielen.

      dedlfix.

    2. Hallo

      Und um die Frage aus dem Betreff zu beantworten, er ist unter dem Fußabtreter. […]

      Manchmal ist die Realität absurder, als man es sich in seinen krudesten Phantasien ausma… Naja, nicht ganz, aber nahe dran.

      Und die Nachrichten tönen dann wieder „Hackerangriff!!“ – wie erst vor wenigen Tagen.

      Dabei steckt ganz einfach Schlamperei der Portalbetreiber bzw. Hardware-Hersteller/-Vertreiber dahinter.

      Wie dedlfix bin ich der Meinung, dass ein Einbruch ein Einbruch bleibt. Das darf mit dem Hinweis auf das Fehlverhalten der anderen Seite nicht kleingeredet werden.

      Allerdings hat sich die Firma (die andere Seite), mit dem neben das Schloss gelegten Schlüssel, tatsächlich ein Eigentor geschossen. Das ist mindestens fahrlässig, ganz sicher selten dämlich und darf genausowenig kleingeredet werden.

      Tschö, Auge

      --
      Wo wir Mängel selbst aufdecken, kann sich kein Gegner einnisten.
      Wolfgang Schneidewind *prust*
      1. Hej Auge,

        Und um die Frage aus dem Betreff zu beantworten, er ist unter dem Fußabtreter. […]

        Manchmal ist die Realität absurder, als man es sich in seinen krudesten Phantasien ausma… Naja, nicht ganz, aber nahe dran.

        Und die Nachrichten tönen dann wieder „Hackerangriff!!“ – wie erst vor wenigen Tagen.

        Dabei steckt ganz einfach Schlamperei der Portalbetreiber bzw. Hardware-Hersteller/-Vertreiber dahinter.

        Wie dedlfix bin ich der Meinung, dass ein Einbruch ein Einbruch bleibt. Das darf mit dem Hinweis auf das Fehlverhalten der anderen Seite nicht kleingeredet werden.

        Der Vergleich mit einem Einbruch hinkt aber gewaltig. Während es eine natürliche Scheu gibt, fremdes Eigentum zu betreten, finden viele cyberattacken schlicht aus Neugier statt (mal schauen, ob das klappt). Virtuelle Dinge sind eben nicht real und werden nicht als Ding oder Eigentum begriffen, jedenfalls kommt es oft genug vor, dass ein Täter so naiv denkt.

        Schon deshalb muss eine ungesicherte Datenbank nicht mit einer nicht verschlossenen Tür verglichen werden - eine Tür mit einem "bitte treten Sie doch ein und bedienen Sie sich"-Schild trifft es wohl eher.

        Noch ein Aspekt ist in diesem Zusammenhang interessant: mein eigenes Haus nicht abzuschließen, bringt in aller Regel nur mich und mein Eigentum in Gefahr.

        Eine Datenbank nicht abzusichern, bringt mich überhaupt nicht in Gefahr, insbesondere, wenn diese keine Daten über mich enthält. Wie da mit fremden Informationen, die mir unvertraut wurden, umgegangen wird, ist oft erschreckend und die Tatsache, dass man hier ein Vertrauensverhältnis verletzt, sollte bei der Findung eines Strafmaßes berücksichtigt werden. Daten müssen sicherer gelagert werden! Gemeldete Lücken, die nicht gestopft werden müssen empfindliche Strafen für diejenigen zur Folge haben, die die Lücken nicht schließen. Selbst dann, wenn die Daten nicht abhanden kommen!

        Marc

        1. Hallo

          Wie dedlfix bin ich der Meinung, dass ein Einbruch ein Einbruch bleibt. Das darf mit dem Hinweis auf das Fehlverhalten der anderen Seite nicht kleingeredet werden.

          Der Vergleich mit einem Einbruch hinkt aber gewaltig.

          Meiner Meinung nach hinkt er keineswegs.

          Während es eine natürliche Scheu gibt, fremdes Eigentum zu betreten, finden viele cyberattacken schlicht aus Neugier statt (mal schauen, ob das klappt). Virtuelle Dinge sind eben nicht real und werden nicht als Ding oder Eigentum begriffen, jedenfalls kommt es oft genug vor, dass ein Täter so naiv denkt.

          Es gibt auch Menschen, die aus Neugier durch eine reale, offen stehende Tür gehen. Und nun?

          Dass das Bewusstsein für einen Einbruch in eine Wohnung ein anderes ist, als dafür, auf einen Datenträger zuzugreifen, ist wohl so. Es ändert aber nichts an der Tatsache, dass der unbefugt Eindringende in beiden Szenarien dort nichts zu suchen hat. Und das wissen diese Leute in aller Regel auch im Fall des Datenzugriffs, selbst wenn es aufgrund fehlender Schutzmechanismen leicht fällt, sich das vor sich selbst zu entschuldigen.

          Wie da mit fremden Informationen, die mir unvertraut wurden, umgegangen wird, ist oft erschreckend und die Tatsache, dass man hier ein Vertrauensverhältnis verletzt, sollte bei der Findung eines Strafmaßes berücksichtigt werden. Daten müssen sicherer gelagert werden! Gemeldete Lücken, die nicht gestopft werden müssen empfindliche Strafen für diejenigen zur Folge haben, die die Lücken nicht schließen. Selbst dann, wenn die Daten nicht abhanden kommen!

          FACK

          Tschö, Auge

          --
          Wo wir Mängel selbst aufdecken, kann sich kein Gegner einnisten.
          Wolfgang Schneidewind *prust*