spackblog

Sachliche Kritik ist sinnvoller als plumpe Polemik. Dennoch ist festzustellen, dass schon bei Zensursula Polemik weder geschadet hat noch Sachlichkeit irgendetwas brachte.

Dieser Satz stammt aus diesem Blogeintrag von Jörg Tauss zum JMStV und ist gleichzeitig kraftvoll und unglaublich wahr. Traurige Welt. Also zum Thema: Schon vor ein paar Wochen hatte der 1&1-Blog unter dem Titel Das Ende der freien Kommunikation im Internet? auf die drohende Zensur durch die Hintertür in Form des Jugendschutzes hingewiesen. Doch die wirkliche Resonanz blieb aus: Zu skurril und abwegig waren die Inhalte dieses Staatsvertrages. Feste Sendezeiten für Internetseiten, obligatorische Sperrung aller Websites, die den deutschen Bestimmungen zum Jugendschutz nicht entsprechen, also quasi 99,9% des Internets. Also nix mehr mit Westfernsehen und so. Auch die Haftung für Zugangsprovider für die Inhalte ihrer Kunden ist eine irre Idee, führt sie doch die Realität völlig ad absurdum. Krude Vorstellung, man lacht kurz und blättert weiter. Doch leider ist das alles ernst gemeint, die Länder sind gerade drauf und dran diesen oder einen ähnlichen Unsinn zu verabschieden. Ein wenig Aufmerksamkeit schadet da nicht. Also nicht stumpf über den (wie es aussieht) Pyrrhussieg über Zensursula freuen, sondern besser die Realität bemerken.

Ich möchte gar nicht viel zu dem Thema schreiben und habe mehrere bereits geschriebene Absätze wieder gelöscht. Der Entwurf ist so abwegig, dass ich an eine Umsetzung beim besten Willen nicht glauben mag. Trotzdem muss man das Thema im Auge behalten. Die oben verlinkten Artikel sind schon mal gute Ansatzpunkte, der AK-Zensur hat natürlich auch schon was dazu gesagt. Einfach mal lesen und staunen. Demnächst ist Landtagswahl in NRW, ich bin gespannt, wie sich die Parteien hierzu positionieren. Die SPD ist mit Beck übrigens Federführend bei dem Unsinn und die anderen Parteien halten sich bemerkenswert bedeckt zum Thema.

P.S. Auf die Piraten würde ich zur Zeit keine Hoffnung setzen, die haben zur Zeit genug Probleme u.a. mit Leuten wie Aaron König in der Parteiführung.

Jemand hatte für 24 Stunden den Twitter-Account cdu_news gekapert und dort eine politische Kehrtwende lanciert. Dem Hörensagen nach geschah das entweder durch ein in einem offenen WLAN gesnifftes Passwort oder durch schlichtes Raten, was bei Identität von Benutzername und Kennwort schnell gegangen sein mag. So oder so, die CDU hat sich das aus verschiedenen Gründen redlich verdient, in erster Linie aber zeigt es recht schön, wie es um die Medienkompetenz dieser Partei bestellt ist. Darauf wollte ich aber gar nicht hinaus, die Häme ist schon woanders ausgeschüttet worden.

An diesem Beispiel sieht man wieder, dass viel zu wenige Leute sich zumindest im Ansatz für die Sicherheit ihrer Online-Identität interessieren. Da werden trivialste und leicht zu erratende Passwörter genutzt und wahrscheinlich für alle Dienste das gleiche, weil man sich das ja auch merken muss. Und es wird ohne Hirneinsatz in offenen WLANs fröhlich alles ohne Verschlüsselung übertragen. Dass da jeder Anwesende mit ein wenig technischem Verständnis und einem Notebook oder PDA in Reichweite alles, mit der Betonung auf alles, mitlesen kann, hat man auch schon mal gehört irgendwann. Punkt. Ich habe keinerlei Mitleid mit Menschen, denen aus diesen beiden Gründen unschöne Dinge passieren, denn sie haben es verdient. Sie haben mutwillig alle Regeln der Umsicht missachtet und müssen die Konsequenzen tragen. Jemand, der aus Bequemlichkeit vor dem Überqueren einer großen Straße und mit MP3-Player auf den Ohren weder rechts noch links guckt, wird in der Regel früher oder später in Kontakt mit fahrenden Fahrzeugen kommen. Same here.

Also noch mal ein paar simple Regeln für den sicheren Umgang mit Passwörtern:

1. Wenigstens halbwegs sichere Passwörter wählen. Admin und Admin sind kein gutes Paar, idiot@gmx.de und idiot auch nicht. idiot12345 ist schon besser, aber immer noch leicht zu erraten. Im Prinzip führt kein Weg an sowas wie 2i5j28dQ vorbei. Wer sich sein Passwort merken muss kann auch die ersten Buchstaben jedes Wortes in einem bescheuerten Merksatz nehmen. Nach ein paar Mal eintippen braucht man den Satz eh nicht mehr. Wie auch immer, ein Passwort darf nicht nach ein paar Tausend Versuchen erraten werden, also mit geeignetem Werkzeug nach ein paar Millisekunden bis Minuten. Der Name von Kindern und Haustieren oder der Hochzeitstag fallen also auch flach, ebenso wie Begriffe, die im Wörterbuch stehen.
2. Nicht überall das gleiche Passwort nehmen. Klingt besonders lästig, aber eine Anekdote beschreibt das Problem ganz gut: Ich hatte mal meinen Benutzernamen vom FH-WLAN vergessen und habe diesen in der DVZ (unser Rechenzentrum) per E-Mail nachgefragt. Der freundliche Mitarbeiter nannte mir ohne weitere Überprüfung meiner Identität meinen Benutzernamen und das erste Zeichen meines Passworts (nach dem ich nicht gefragt hatte, denn das wusste ich noch). Fuck, dieses Passwort hatte ich zu dem Zeitpunkt bei etlichen Diensten genutzt und jeder Honk konnte offenbar durch geschicktes Nachfragen bei der DVZ dieses Passwort herausfinden, das dort im Klartext abgelegt war. Fuck, fuck, fuck! Merke: Man kann nie wissen, was mit den Passwörtern bei den Betreibern passiert, also führt tatsächlich kein Weg daran vorbei, für jeden Dienst ein gesondertes Passwort zu benutzen oder zumindest für die wichtigen Dienste.
3. Kein Mensch kann sich alle Passwörter merken, wenn man für jeden Dienst ein eigenes definiert. Also führt kein Weg an einem Passwort-Manager vorbei. Ich benutze Keepass, das ein kostenloses (Open-Source) Programm ist, das auf etlichen Plattformen läuft: Neben Windows (auch vom USB Stick), Linux, Mac OSX auch auf den meisten besseren Handys und demnächst irgendwann auch mal auf dem iPhone, wenn Apple es mal im AppStore freischaltet. Aber Vorsicht: Das Master-Passwort muss besonders stark sein, denn wer eine schlecht geschützte Schlüsseldatei in die Finger bekommt, hat den Generalschlüssel.
4. Fast einen Generalschlüssel hat auch jeder, der das Passwort zum E-Mail Postfach kennt oder sonstigen Zugriff darauf hat: Eigentlich jeder Webdienst bietet die Möglichkeit, sich ein neues Passwort per E-Mail zusenden zu lassen. Und schwupps ist alles geritzt. Immerhin bemerkt man hier den Angriff meistens im Nachhinein, wenn das alte Passwort nicht mehr funktioniert. Merksatz: E-Mail und Passwort-Manager sind die wichtigsten Passwörter von allen. Hüte sie wie Deinen Augapfel.
5. Das E-Mail Postfach kommt aber gerne in falsche Hände, wenn man unverschlüsselt auf seine E-Mails zugreift. Also immer und ganz besonders in offenen WLANs Passwörter nur über verschlüsselte Verbindungen übertragen. Im E-Mail Programm muss man meist nur zwei Häkchen setzen (SSL oder TLS), je nach Provider muss man aber auch mehr Umstellen: Ein freundlicher Helfer oder die Online-Hilfe des Providers hilft auch Anfängern zuverlässig bei der Einrichtung. Auch der Webmailer sollte nur mit einem https:// vor der Adresse genutzt werden. Nochmal: In offenen WLANs, also allen öffentlichen und hoffentlich nicht dem eigenen, kann jeder in Reichweite des Netzes alle Daten mitlesen, wenn sie nicht verschlüsselt werden.
6. Und zuletzt der simple Tipp: Nicht jedem das Passwort in die Hand drücken. Ein Passwort geht niemanden etwas an. Ganz besonders gilt das für die vielen Dienste, die eine direkte Twitter-Anbindung anbieten, für die Benutzername und Kennwort eingegeben werden müssen. Das ist scheiße, liebe Betreiber. Bitte erzieht die Nutzer nicht zu solch sorglosem Umgang mit ihren Zugangsdaten.

Ja, Passwörter sind ein unbequemes Thema. Aber spätestens, wenn es um handfesten Identitätsdiebstahl oder finanziellen Schaden geht (PayPal, eBay etc. schicken einem gerne ein neues Passwort per E-Mail zu), sollte etwas Umsicht walten.

Bei jeder PayPal-Zahlung habe ich Angst. Der übliche Workflow lädt nämlich geradezu ein zum Phishing: Man klickt irgendwo auf einen irgendwie gearteten "Bezahlen"-Button und wird auf die Paypal-Bezahlseite weitergeleitet. Wer jetzt nicht peinlich genau auf die Domain und die Signatur achtet, dem könnte man derart leicht eine gefälschte PayPal-Bezahlseite unterjubeln, dass es nur so brummt: Einfach per Copy and Paste so eine Bezahlseite kopieren und die Werte des Eingabefeldes über ein eigenes Script umleiten, schon hat man die Zugangsdaten des PayPal-Nutzers. Wenn man danach die echte PayPal-Seite aufruft, wird der Bezahlvorgang sogar erfolgreich abgeschlossen und der Nutzer bemerkt den Account-Diebstahl nicht mal.

Dieses Phishing-Risiko besteht bei allen Diensten, die so arbeiten, nicht nur bei PayPal und das hat einen ganz simplen Grund: Die Dienste befürchten einen Komfortverlust beim Nutzer und wenn die Bezahlung nicht einfach und schnell ist, nutzen die Kunden andere Dienste. Ein echtes Dilemma, denn technisch gäbe es verschiedene Lösungsansätze, die aber eben alle mit Komforteinbußen verbunden wären.

PayPal selber führt gerade zwei Sicherheitsfunktionen ein, die aber in meinen Augen das grundsätzliche Problem nicht beheben, sondern lediglich die Symptome mindern:

Verfahren Nummer eins kostet einmalig 4,95€ und beschert einem ein kleines Gerätchen, das alle 30 Sekunden eine sechsstellige Zahl generiert, die nur PayPal (und eBay) kennt. Diese Zahl gibt man beim Login zusammen mit Benutzername und Kennwort ein und weist so recht sicher nach, dass man der Accountinhaber ist und nicht jemand, der die Accountdaten geklaut hat. Geklaute Accountdaten werden damit weitgehend wertlos, müssen also nicht mehr so stark geschützt werden, Phishing läuft weitgehend ins Leere. Man kann nur noch im Moment des Phishings den dann gültigen LogIn-Code ausspähen und den einen Transfer verändern. Diese Lücke lässt sich weitgehend abdichten, ob PayPal das auch macht, steht auf einem anderen Blatt. Andererseits ist das vorerst auch gar nicht nötig, denn dieses Feature muss erst vom Nutzer aktiviert und bezahlt werden, und man muss ständig so einen lästigen Schlüsselanhänger parat haben. Weit verbreiten wird sich das also nicht und genau da liegt der Trick: Für Angreifer ist es einfacher, sich auf Nutzer ohne dieses Feature zu konzentrieren und die Leute mit TAN-Token in Ruhe zu lassen.

Verfahren Nummer zwei ist etwas handlicher und funktioniert ein wenig wie PayBox damals (bzw. noch heute in Österreich): Das Handy wird in den Bezahlvorgang einbezogen: PayPal akzeptiert Zahlungen nur mit einem per SMS verschickten Authentifizierungscode. Wer das Handy und das Passwort hat, hat also die Macht. Die Kosten für die SMS berechnet PayPal dem Nutzer. Ein durchaus angenehmes Verfahren, für das das oben gesagte ebenfalls gilt: Zu aufwändig anzugreifen, solange es genug Nutzer ohne das Feature gibt.

Beide Verfahren lassen sich auch ohne das jeweilige Sicherheitsmedium benutzen, in dem Fall werden dem Nutzer zwei vorher festgelegte Sicherheitsfragen vorgelegt und die richtigen Antworten schalten den Transfer frei. Aber beide Verfahren gehen das zentrale Problem nicht an: Der Bezahldienst authentifiziert sich nicht wirklich dem Benutzer gegenüber. Klar gibt es da ein Sicherheitszertifikat, das man sich im Browser anschauen kann und das man überprüfen sollte. Aber ich kenne niemanden, der das macht und auch ich selbst mache das nicht immer. Die meisten Leute wissen nicht mal, wie man das überprüft geschweige denn ist ihnen klar, was es überhaupt mit SSL-Zertifikaten auf sich hat. Das kann keine allgemeingültige Lösung sein. Das Verschicken eines Authentifizierungscodes per SMS ist schon ein guter Ansatz, wenn jetzt noch das Passwort erst einen Schritt nach dem Code abgefragt würde, wäre auch das Passwort vor Fehleingaben geschützt, weil der PayPal sich gleichzeitig mit diesem Code beim Nutzer authetifiziert (bzw. durch die Tatsache, dass ihnen die Handynummer bekannt ist). Selbst da fallen mir noch Angriffsszenarien ein, aber die sind weit entfernt vom Massenphishing und daher nicht so gravierend. Ich werde jedenfalls auf das SMS-Verfahren umstellen, wenn die SMS zu vernünftigen Preisen versendet werden. Genau genommen, hätte ich es längst gemacht, wenn die nur eine Minute gültige Aktivierungs-SMS käme. Mit sowas steht und fällt das System, denn wenn der Aktivierungscode nicht kommt, kann man nicht bezahlen.

P.S. apropos PayBox. Dieses System war wirklich gut, simpel zu handhaben und immens praktisch und sicher. Man musste nichts weiter machen, als seine Handynummer anzugeben und den Anruf vom PayBox Computer abzuwarten. Dort wird einem der Betrag genannt, der Empfänger und um die Eingabe der PIN gebeten. Gibt man die ein, wird die Zahlung freigegeben. Nix mit mehrehren Passwörtern oder gar TANs hantieren. Das System ist damals aus mehreren Gründen in Deutschland gescheitert: Der wichtigste war, dass 10 DM pro Jahr, die der Nutzer bezahlen musste, nicht ganz wenig sind. Was sollte das? Wollte man unbedingt scheitern?

P.P.S. die payPal-Hotline nervt total, nicht nur wegen des lästigen und wortreichen Voice-Menüs für 14¢/min, sondern auch weil sie mich für doof halten (gehen wir zusammen noch mal die Rufnummer durch…) und mir dann nicht weiter helfen (Probieren Sie es noch mal in ein paar Stunden und melden Sie sich nochmal, wenn das immer noch nicht klappt.). Fast acht Minuten vertane Telefongebühren.

Im Lawblog thematisiert Udo Vetter heute das grob fahrlässige System der Sofortüberweisung. Ich habe schon zwei mal mit größten Bauchschmerzen mit diesem System Bestellungen bezahlt und wollte immer mal was darüber schreiben. So denn.

Worum geht es also bei der Sofortüberweisung? Ähnlich wie bei PayPal wird man aus dem Bestellvorgang beim Online-Shop auf die Seite des Payment-Dienstleisters (sofortueberweisung.de und ich meine irgendwann noch einen weiteren gesehen zu haben) umgeleitet. Dort sieht man Details über die Bestellung im Online-Shop und tätigt dort die Zahlung. Bei der Sofortüberweisung gibt man dazu auf der Seite des Dienstleisters die eigene Kontonummer, die Bankleitzahl, den Kontoinhaber, die PIN und abschließend auch eine TAN ein. Der Dienstleister kontaktiert damit das Online-Banking der Bank und tätigt dort die Überweisung im Namen des Kontoinhabers. Hier stutze ich: Steht in den Nutzungsbedingungen der Banken nicht klipp und klar, dass man weder PIN noch TANs jemals einem Dritten überlasen darf? Sagt einem das nicht auch jeder Sicherheitsexperte? Für solche Vorgänge gibt es auch einen etablierten Namen: Phishing.

Das System ist also by Design ein Unding und läuft allen Bemühungen zur Phishing-Aufklärung zuwider. Warum wird es also von seriösen Online-Shops (mir fallen spontan conrad.de und cyberport.de ein) angeboten? Klar, es erweitert das System Vorkasse um die Möglichkeit der sofortigen Zahlungsbestätigung, das ist bequem für den Nutzer und den Anbieter zugleich. Aber zu welchen Kosten?

Ich rate dringend davon ab. Klar mag man dem Laden vertrauen, der sogar ein TÜV-Siegel trägt. Es ist ja nur ein Dienstleister und damit ist das ganze noch recht überschaubar. Aber was ist, wenn der nächste Laden einen anderen Dienstleister mit dem gleichen oder noch schlimmer einem nur ähnlichen System ins Spiel bringt? Was, wenn unseriöse Phisher sich eine beliebige neue Seite mit gefaketem TÜV-Logo bauen? Wer soll das unterscheiden können? Die Leute fallen ja schon auf schlecht gemachte Nachbauten ihrer eigenen Hausbank herein, die sie ganz gut kennen müssten. Und was, wenn die Daten bei dem Dienstleister nicht sicher sind? Soweit ich weiß, betreiben die kein Hochsicherheits-Rechenzentrum wie die Banken und stehen erst recht nicht für Missbrauch gerade. Ach ja: Für Bankkunden ohne PIN/TAN-Verfahren klappt das System schon mal gar nicht.

Das ist wie wenn man im Laden an der Kasse jemandem mit irgendeiner beliebigen Uniform ("Geldholservice" oder so) seine EC-Karte samt PIN in die Hand drückt, damit dieser beim Geldautomaten schnell Bargeld holen geht: Völlig irre, würde niemand machen (stimmt leider auch nicht). Die Bank kann sich bei solchem Missbrauch übrigens gemütlich zurücklehnen, immerhin hat man glasklar gegen die Nutzungsbedingungen verstoßen.

Eingeschränkt gilt meine Kritik auch PayPal und Co., weil man dort ebenso kaum kontrollierbar auf eine Paypal-Seite weitergeleitet wird, die im Prinzip jeder nachbauen könnte und damit die Paypal Zugangsdaten ergaunern. Wer achtet schon auf Sicherheitszertifikate und eine korrekte URL. Paypal ist Phishing-Risiko pur.

Ach ja, ich habe die Sofortüberweisung schon zwei mal genutzt. Warum tue ich sowas, obwohl ich Kunden und Freunden davon abrate? Beide Male brauchte ich die Ware recht dringend und konnte daher nicht auf Vorkasse zurückgreifen. Nachnahme ist indiskutabel teuer und das Paket kann dabei auch nicht bei den nachbarn abgegeben werden. Und schließlich habe ich für mein Geschäftskonto keine Kreditkarte. Ach ja: Bei Conrad klappte übrigens die Zurückleitung in den Shop nach der Zahlung nicht (ich benutze Opera, da funktionieren die wenigsten Zahlungsdienste sauber), so dass ich die Bestellung nur mit einer erneuten Befüllung eines Warenkorbs mit anschließender Vorkasse-Bestellung und einer Mail an den Support korrekt abschließen konnte. Hölle!

P.S. Klar haben die Shops eine berechtigte Angst vor Rücklastschriften, aber die Sofortüberweisung kann keine Lösung dafür sein.