Bei der Hetzner Online AG, Spezialist für Web-Hosting, gab es über Monate ein massives Sicherheitsproblem. Nach Informationen des SPIEGEL waren hochsensible Daten des Unternehmens und von dessen Kunden leicht zugänglich. Listen mit Passwörtern blieben sogar unverschlüsselt.
http://www.spiegel.de/netzwelt/web/0...790666,00.html
Sicherheit im Internet gibt es nicht, das weiß jeder :) Lustig aber, wie viel Wert auf die Darstellung der physischen Sicherheit der RZ gelegt wird.. toll, das zu haben, aber die wahre Gefahr ist eh digital. Schön natürlich, wenn alles automatisiert ist und dementsprechend die Kosten gering... aber man sollte sich schon Fragen, wem man im Endeffekt seine Daten anvertrauen will. Größe muss nicht immer ein Vorteil sein in diesem Geschäft... zum Glück gibts auch andere als Hetzner :)
Ein hübsches Spiel. Morgen ist es wieder ein anderes Unternehmen oder eine Behörde, die das genauso behauptet: alles sicher. Alles unter Kontrolle. Wie die Politiker, die so engagiert als Schauspieler für den Datenschutz aktiv sind: in die laufende Kamera lügen, was das Zeug hält. Daß man selber keine Ahnung hat, kann einem schließlich nicht als Lüge nachgewiesen werden. Und Heuchelei ist kein Fehler, sondern das Geschäftsmodell unserer Wirtschaft. Was war gestern oder vorgestern wieder über den neuen ePerso oder die kranke Krankenkassenkarte zu lesen? Wieviel kriminelle Energie braucht man, um den millionenfachen Datengau, der mit unsinnigen aber angeblich notwendigen technischen Spielereien vorprogrammiert ist, wider besseren Wissens zu planen, auszuführen und dem Volk tagtäglich als Fortschritt zu verkaufen?Zitat von sysop
Ich habe schon persönlich erlebt, wie ein Geschäftsführer eines IT-Unternehmens unter völliger Mißachtung einer offensichtlichen Sicherheitslücke den Abbau einer wichtigen Sicherheitsvorkehrung gegen Datenspionage angeordnet hat, entweder weil er den "vorauseilenden Gehorsam" (Risikobewußtsein) des technischen Mitarbeiters nicht ertragen konnte, oder weil er einfach nur strunzblöd war. Genau so stelle ich mir auch die Leute vor, die z.B. an der Krankenkassenkarte arbeiten: ignorant bis zum Gehtnichtmehr und gierig ohne Ende. Es geht immer häufiger nur um den Umsatz. Das System, daß stets neue Hardware und Software verkauft werden soll, obwohl eigentlich gar kein wirklicher Bedarf gegeben ist, kennt nur eine Richtung: nach vorne. Höher, weiter schneller. Wen interessiert da schon ein kleines Risiko, wenn der Gewinn privat erwirtschaft, aber der Verlust, dem Kunden, der Gesellschaft aufgebürdet werden kann?!
Auf meiner elektronischen Krankenkassekarte wird also demnächst dann vermerkt sein: chronisch krank. Diagnose: Manipulationsresistenz gegen PR-Hetze und staatlich geförderten Datengau.
Mit der entsprechenden Verschlüsselung (und dem wissen wie sie funktioniert) kein Problem.Zitat von Felixbell
Kein Problem, wir unterschreiben einfach weltweit eine no-crime-Resolution und schon können wir alle beruhigt die Türschlösser ausbauen und die Verschlüsselung beim Onlinebanking abschaffen.Zitat von GM64
Und die ganzen arbeitslosen Verbrecher und Polizisten könnten dann ja Künstler werden, die unser Leben mit Musik und Gesang bereichern...
„Liebe deinen Nachbarn, aber halte deine Zaun in Ordnung.“
;o)
Ich meine, wo ist das Problem? REWE hat ja auch in irgendwelchen Schrottsites auf Typo3-Basis Daten seiner Kunden in Klebebildchen-Tauschbörsen auf dem Silbertablett serviert. Und auch wenn man Hetzner durchaus einen Vorwurf daraus machen kann, warum man Hosting anbietet, wenn man nicht einmal die Daten seiner Kunden sinnvoll schützen kann, so ist das durchaus kein Einzelfall. Und Tobias Huch ist doch meines Wissens Betreiber von Online Erotikangeboten und FDP-Männlein in Mainz. Da ist mir eine undichte Firma Hetzner immer noch lieber als ein dichter Tobias Huch...
Es würde schon reichen, die Staatsschulden endlich mit den Privatvermögen zu verrechnen, dann wäre das Problem mit der Beschaffungskriminalität im Geldbereich weitgehend entschärft. Natürlich müsste man auch gesellschaftlich wollen, daß all die Hersteller von Safes, Panzerungen, Alarmanlagen, Antivirussoftware und Anti-Anti-Antivirussoftware ihren Betrieb einstellen. Ich sehe schon die Schlagzeilen: Die Geldgier-Stiftung und die Materialismus AG haben Insolvenz angemeldet. Tausende von Kunstverbrechern müssen jetzt lernen, wie reale Arbeit funktioniert...Zitat von whocaresbutyou
Stimmt.Zitat von J_Chef_Kennedy
Das stimmt wiederum nicht. Sie müssen das Passowrt heute nicht mehr speichern, weder verschlüsselt und schon garnicht unverschlüsselt.Zitat von J_Chef_Kennedy
Siehe hier:
http://de.wikipedia.org/wiki/Hashfun..._Internetseite
Sie können ja mal testen, bei Ihrem E-Mail-Anbieter, Ihr vergessenes Passwort anzufordern. Wenn Sie das versuchen, werden Sie merken, dass die Ihnen Ihr Passwort nicht mitteilen können, weil die das Passwort nämlich garnicht kennen und auch nicht ermitteln können (zumindest wenn es ein seriöser Anbieter ist). Denn die haben das Passwort nicht gespeichert, sondern einen per Hash-Funktion generierte Hash-Wert (siehe Link), aus dem sich keine Rückschlüsse auf das Passwort ziehen können (aus mathematischen Gründen). Deshalb haben Sie da nur die Möglichkeit, ein neues Passwort festzulegen, aber das alte Passwort kann Ihnen keiner mehr mitteilen. Demzufolge kann auch niemand Ihr Passwort von deren Servern abgreifen. Jemand kann bestenfalls den Hash-Wert abgreifen, aber der nutzt ihm nichts.
Bei Facebook gibt aber jeder seine Daten freiwillig preis und ich denke, mittlerweile müsste auch der letzte Hinterbänkler erkannt haben, was Facebook mit diesen Daten macht. Wenn die Leute das dann trotzdem freiwillig und in vollem Bewusstsein so weitertreiben mit ihren Daten, ist das deren Problem.Zitat von J_Chef_Kennedy
Das kann man aber nicht denjenigen vorwerfen, die sorgsam mit ihren Daten umgehen wollen und deren Daten dann unfreiwillig abgegriffen werden.
Viele Grüße
Sehe ich genauso.Zitat von Marginalius
So geht SPON mit Sicherheitsapekten um:Zitat von Marginalius
http://www.gulli.com/news/16418-spie...ate-2011-06-23
Deswegen empfinde ich diesen Artikel bzw. die aufgeregte Tonlage als sehr verlogen, auch wenn SPON damit Recht hat.
Ja!Zitat von Marginalius
Das ist im Grunde richtig, wenn es um Benutzerkonten geht. Problematischer wird es beim Zugriff auf externe Ressourcen, wie z.B. Datenbanken von Webhostingangeboten. Da sind sie gezwungen etwas zu speichern, das sie authentifiziert! Ob das dann ein Hash ist oder nicht, erhöht die Sicherheit nicht. Jeder der Zugang zum Benutzerkonto hat, kann dieses Kennwort auslesen. Das läßt sich technisch nicht anders machen. Der einzige Weg, dass Kennwort nicht zu speichern wäre, das Kennwort des Benutzerkontos auch für die Datenbank einzusetzen. Damit hat aber wieder jeder Zugriff auf die Datenbank, der auf das Benutzerkonto Zugriff hat.
Daraus folgt, mit der Sicherheit des Benutzerkontos, steht und fällt die Sicherheit des Webhostingangebots und Kennwörter von Benutzerkonten sollten in keinem Fall ungehasht gespeichert werden! Das sollte auch Hetzner klar sein, deswegen kann ich diese Meldung nicht so ganz glauben. Vielleicht liegen SPON ja nur Klartextkennwörter der von mir beschriebenen Datenbankverbindungen vor?
Laut Artikel war u.a. E-Mail-Korrespondenz zugänglich. Via E-Mail werden Kunden die Zugangsdaten für FTP, Datenbank und Webmail übermittelt. Da man sich denken kann, dass manche Kunden die Zugangsdaten nicht mehr ändern, könnte auf diese Weise auf Benutzerkonten zugegriffen worden sein.Zitat von ThomasM72
Wetter
Antworten / Zitieren
