Sonstiges

Renaissance der Hacks

Sony hat ein ernsthaftes Problem. Gleich zweimal wurde in die Server der Japaner in den vergangenen Tagen eingebrochen; es wurden Kundendaten gestohlen, das Unternehmen damit bloßgestellt. Am kommenden Wochenende befürchtet man einen dritten Angriff. Es dürfte ein schwacher Trost für den Unterhaltungsriesen sein, dass er nicht der einzige ist, der in den vergangenen Tagen gehackt wurde. Erwischt hat es in dieser Woche ironischerweise auch den Passwortverwalter LastPass. Mitte April waren Google Mail und WordPress-Hoster Automattic zum wiederholten Male die Opfer zweier Hacks.

Von anderer Qualität und doch mit ähnlichem Ziel sind Scams, die sich durch Nachlässigkeiten der Nutzer auf Facebook verbreiten, wie ein vermeintliches Video über die Tötung von Osama bin Laden. Fasst man die wahrscheinlichen Absichten der Hacker zusammen, lässt sich ein Muster erkennen. Es traf jeweils Netzwerke, auf denen sich etliche Millionen Menschen tummeln: Das soziale Netzwerk Facebook (600 Millionen Mitglieder) ebenso wie das beliebte Blognetzwerk WordPress.com (20 Millionen Blogs, 300 Millionen Besucher), den Webmailer Google Mail (200 Millionen Nutzer) und Sonys PlayStation Network zusammen mit Qriocity und Sony Online Entertainment (mehr als 100 Millionen betroffene Kunden). Es ging den Missetätern mit Sicherheit darum, größtmögliche Aufmerksamkeit zu erregen, Sicherheitslücken zu offenbaren und verhassten Konzernen eins auszuwischen. Und doch bleibt eine weitere Botschaft zurück, die da lautet: Überlasst den Großkonzernen nicht eure Daten.

Ob beabsichtigt oder nicht: Viele unbescholtene Bürger dürften mittlerweile ins Grübeln gekommen sein, ob es zwingend notwendig ist, dass Sony Kreditkartendaten von Millionen Kunden offenbar unverschlüsselt in Datenbanken ablegt. Ob es nicht auch andere Wege gäbe, als seine Daten freiwillig einem Unternehmen wie Facebook oder Automattic zu überlassen. Und ob es sinnvoll ist, der Datenkrake Google, die eh schon alles über uns weiß, auch noch Einblick in private E-Mails zu gestatten.

Sind Serverfarmen wirklich der nächste logische Schritt?

Es ist kein Grund in Hysterie auszubrechen. Aber es klingt wie eine ernst gemeinte Warnung vor Cloud Computing, einem Sammelbegriff verschiedener Anwendungen, die uns als der nächste logische Schritt verkauft werden. Anbieter wie Apple, Google, Amazon, Microsoft, Facebook und Sony sind aber daran interessiert, Geld mit unseren privaten Dingen zu verdienen, etwas was sie eigentlich nichts angeht. Viele Cloud-Dienste sind praktisch, die technisch einzige mögliche Lösung sind sie aber nicht. So kann ich etwa meine Favoriten und Browser-Tabs mit Firefox Sync synchronisieren, um Zuhause und auf der Arbeit auf dem gleichen Stand zu sein. Diese, meine Daten legt Firefox-Anbieter Mozilla auf seinen Servern ab. Technisch notwendig wäre das nicht, es ist nur für mich die bequemere Lösung. Es wäre technisch doch auch möglich, dass ich mir meinen eigenen Server konfiguriere und die Daten darüber synchronisiere.

Dahin sollte der Trend gehen: Weg von Großkonzernen und der massenhaften Datenspeicherung an zentraler Stelle, hin zum Dezentralen, zu einem sensibleren Umgang mit den eigenen Daten und mehr Privatsphäre. Dann müsste auch Sony in Zukunft weniger Reue zeigen. Warum kaum ein Webnutzer von Selbsthosting Gebrauch macht? Weil es der anstrengendere Weg ist und weil es offenbar noch keine Lösung gibt, die so einfach für jeden zu bedienen ist, dass sie ins Licht der Aufmerksamkeit gerückt wäre. Und weil die Großkonzerne mit ihren enormen Marketingbudgets natürlich weiter für die Cloud trommeln. Für ein Hypethema, das immer ein Sicherheitsrisiko darstellen wird und deswegen eigentlich nicht die Zukunft sein sollte.

(Jürgen Vielmeier, Foto: Rob Boudon)


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Jürgen Vielmeier

Jürgen Vielmeier ist Journalist und Blogger seit 2001. Er lebt in Bonn, liebt das Rheinland und hat von 2010 bis 2012 über 1.500 Artikel auf BASIC thinking geschrieben.

12 Kommentare

  • Langsam reichts in Sachen Sony!
    Was mich dennoch stutzig macht ist, dass kein Unternehmen von oder Microsoft selbst attakiert wurde?

  • Die Dezentralisierung von Daten klingt in Anbetracht des Kontrollverlustes bei der Nutzung zentralistischer Systeme wie AmazonCloud, Google etc verlockend.

    Aber seien wir mal ehrlich, sicherer werden die Daten dadurch bestimmt nicht, zumindest nicht für die meisten von uns.

    Wer kennt sich schon genug aus, seinen eigenen Server sicher zu halten bzw. ist bereit so viel Zeit und Arbeit reinzustecken alle Nase lang neue Updates und Patches einzuspielen, damit auch die neusten Sicherheitslücken geschlossen werden.

    Ganz davon abgesehen, dass wenn man die Forderung nach Denzentralisierung weiterdenkt auch eigentlich nur ein eigener Webserver in Frage kommt, womit der Aufwand, das System sicher zu halten weiter steigt.

    Aber es ein anderes Argument für die Dezentralisierung, denn einzelne kleine Hoster oder gar der eigene Server sind für Hacker vielleicht weniger attraktiv da sie dort nur wenig Daten klauen können.

    Anderseits kann es aber auch gerade anziehend für Hacker sein, dass sie einen kleinen unwichtigen Server übernehmen und womöglich noch nicht einmal vom Besitzer dabei erwischt werden…

    Wie so oft im Leben gibt es auch hier nicht die eierlegende Wollmichsau…

  • Ein Datenschutzgesetz was diesen Namen auch Verdient würde schon helfen, dazu gesetzliche Reglungen zur Entschädigung.
    Unverbindliche Selbstverpflichtungen und durch Lobbyisten weich gespülter Verbraucherschutz helfen nicht mehr.
    Es kann doch nicht sein das User wegen geringen Vergehen im Netz horrende Abmahnungen Erhält , die Konzerne und Datensammler aber Unbehelligt bleiben!

  • Was ich vorallem wichtig finde, ist nicht die technische Speicherung der Konzerne oder des einzelnen, sondern, dass der einzelne erkennt, wie wichtig seine Daten sind, und dass er sie nicht einfach herausgeben sollte.
    Es gibt viel zu viele Leute, die mit ihren Daten so unvorsichtig vorgehen. Wie in dem Artikel erwähnt, sollte man sich Gedanken machen darüber, wie und warum solche Daten gespeichert werden sollten.
    Zusätzlich zu den unverschlüsselten Kreditkarteninformationen (oben erwähnt) macht mich noch ein anderes stutzig: Warum wurde berichtet, dass Passwörter geklaut worden sind? Falls es nun keine falsche Berichterstattung ist, muss ich sagen: Was bitte Sony?! Ich, ein kleiner Hobby Programmierer, weiß schon, dass Passwörter generell in einem „Format“ gespeichert werden, welches nicht wirklich zu knacken ist. Ich will nicht zu weit ins Detail gehen, aber soviel sei gesagt: für einzelne Passwörter ist der benötigte Rechenaufwand durchaus hinnehmbar. Um alle 80M passwörter zu knacken, dürfte es einiges an Zeit benötigt werden.

    Tut mir Leid wegen dem Exkurs, aber meiner Meinung nach muss allen mal klar werden, dass ihre Daten Geld sind und sie vorsichtig damit umgehen müssen.
    Im Grund macht die Dezentralisierung der Speicherung schon Sinn, weil die Server, wie Sascha schon schrieb, nicht so attraktiv für Hacker sind.

    Ich hoffe diesen Artikel beachten mal mehrere Leute…
    Lukas

    PS: Tut mir Leid wegen der Unstrukturiertheit des Kommentars, es wurde mit 3 Unterbrechungen geschrieben..

  • @Jürgen
    „Es ging den Missetätern mit Sicherheit darum, größtmögliche Aufmerksamkeit zu erregen, Sicherheitslücken zu offenbaren und verhassten Konzernen eins auszuwischen.“

    Das bezweifle ich einfach mal! Mit diesen Daten lässt sich richtig Geld machen(wie man ja auch von Google/Apple/etc. sieht) und genau darum wird es auch den Hackern gegangen sein.

  • Für „ab in die cloud….“ werben ist die eine Sache, die Daten der Nutzer sichern die andere. Das ist bei cloud computing nämlch nicht mehr so einfach. Auch wenn es so schön einfach aussieht.

    Wenn ich mir die facebook ads ansehe, wie zielgerichtet man mittlerweile werben kann…das ist schon heftig. Bei google adwords wird ja noch eine gewisse Zurückhaltung geübt.

    Schlimm wäre, wenn facebook und big G eines Tages fusionieren würden. Dann haben wir die umbrella corporation.

  • Stimmt, richten wir uns alle einen eigenen Server ein. Aber warte, der ist teuer und schwer zu konfigurieren.

    Gut, dass es PaaS gibt und weil die somit gehosteten Geräte virtualisiert sind, sinkt auch der Preis.

    Aber nein, noch ein Problem. Das ist ja wieder Cloud Computing. Welches unsicher und schwer zu kontrollieren ist.

    Sorry, aber die von dir vorgeschlagene Lösung ist Blödsinn. Ich kenne eine ganze Reihe Leute die es gerade einmal schaffen ihre Mails zu lesen, bei Spiegel ein paar Artikel durch zu blättern und mal online eine Pizza zu bestellen. Sollen die sich wirklich für X Euro eine Maschine zuhause hin stellen? Wer soll das administrieren? Wer stellt die Schnittstellen bereit? Wer sorgt dafür, dass diese Schnittstellen dann nicht evtl. selbst zum Einfallstor für angreifer wird?

    Außerdem ist mir nicht bekannt, dass Sony die Kreditkartendaten unverschlüsselt hinterlegt hat. Höchstens die Passwörter wurden Klartext gespeichert, statt als Hash. Ein Fehler den eine ganze Reihe von Firmen macht…

    Eine echte Lösung für das Problem gibt es nicht. Viel eher müsste man die gesamte Architektur des Internets als solche und den damit verbundenne rechtsfreien Raum in Frage stellen. Aber warte mal, dass geht ja auch nicht. Da rufen die Quängelbacken ja wieder „Überwachungssaat“. So überlässt man seine Daten und Spuren im Netz lieber unseriösen Großkonzernen und Gaunern. Ein Status Quo mit dem sich offenbar immer noch gut genug leben lässt.

  • Der Autor möchte sich also einen eigenenen Server zulegen, der nicht gerade billig ist und dort seine Firefox Favoriten speichern? Sicherlich könnte man mit dem Server mehr anfangen… aber wozu 20 – 30€ ausgeben wenn man es auch umsonst haben kann 🙂

    Sicherlich wird man sagen „ist dir deine Sicherheit nicht wichtig?“ Natürlich, aber wegen ein paar Favoriten so einen Aufwand zu betreiben finde ich nicht sinnvoll. Zudem muss man sagen das (meist) Selbstkonfigurierte Server schlechter abgesichert sind als welche die von Erfahrenen IT-System (Sicherheits-) Administratoren konfiguriert wurden.

  • @Hans @Nothing: So eine Lösung könnte man eigentlich ohne große Probleme in einen Router integrieren. Der läuft eh Tag und Nacht, kostet nichts extra. Ist ne Frage der Software, die es dafür gibt.

Kommentieren