Nutzerdaten der Frankfurter Stadtbücherei gehackt – ein offenbar unterschätztes Sicherheitsrisiko

onleihe:hilfe
Aktuelle Meldungen finden Sie stets auf der :hilfeseite für die Onleihe.

  • Am 28.11.2018 wurde der Online-Katalog der Stadtbücherei Frankfurt gehackt. Möglicherweise brachten sich die Hacker u.a. in den Besitz von Vorname, Name, Adresse, Geburtsdatum, E-Mail-Adresse und Bibliotheksausweisnummer der Bibliotheksnutzer.


    Da man sich bei der Onleihe – zumindest beim OVH – mit der Bibliotheksausweisnummer als ID und dem Geburtsdatum als Passwort anmelden muss, bedeutet das, dass die Hacker möglicherweise in der Lage sind, sich über die gestohlenen Identitäten beliebig Bücher im OVH auszuleihen. Lesen können sie die allerdings nur, wenn sie ebenfalls über die Adobe-ID verfügen. Da vor einigen Jahren die Nutzerdaten von Adobe gehackt wurden, weiß ich nicht, wie weit es ausgeschlossen ist, dass nicht einige Adobe-Kunden noch eine alte, gehackte ID benutzen – was ein Einfallstor für die Hacker darstellen könnte.


    Sollten die Hacker – nur sofern sie tatsächlich über einige Adobe-IDs von OVH-Nutzern verfügen – die Fähigkeit haben, das DRM knacken zu können, bedeutet das, dass sie alle im OVH ausleihbaren E-Bücher in ihren Besitz bringen und u.U. auf einschlägigen Seiten (z.B. im Darknet) weiterverkaufen können.


    Ich weiß nicht, ob von der Onleihe verliehene Bücher über "Wasserzeichen" verfügen an Hand derer der Ausleiher ermittelbar ist. Sollte das aber der Fall sein, dann könnten zusätzlich noch einige unschuldige Nutzer des OVHs in den Verdacht des Missbrauchs der Onleihe geraten.


    Des weiteren können die Hacker – immer vorausgesetzt, sie haben die persönlichen Daten der OVH-Nutzer tatsächlich erbeutet – auch durch Änderungen in den Daten der Nutzer, auf die sie ja dann Zugriff hätten, den richtigen Nutzern den Zugriff auf Funktionen des OVH be- oder verhindern.

  • Bei so etwas rächt sich dann eventuell der bodenlose Schwachsinn, dass man sich bei manchen Websites/Diensten mit einer eMail-Adresse anmelden muss, anstelle eines frei erfundenen Nutzernamens. Dito, dass man bei Mailprovidern üblicherweise jeden seiner Aliase zur Anmeldung verwenden kann. Und obendrein noch diese "durchgreifenden" Anmeldungen über andere Dienste.


    Im Prinzip müsste man für jede neue solche Anmeldung erst einmal ein neues Postfach anlegen und sich dann zwei neue, sichere Passwörter einfallen lassen. Eins fürs neue Postfach und eines für die Website-Anmeldung.

    Niemand beabsichtigt, in Berlin einen neuen Flughafen zu errichten! - Niemand beabsichtigt, eine fehlerlose Software zu programmieren! - Niemand beabsichtigt, ein langfristig störungsfrei nutzbares Gerät auf den Markt zu bringen!

  • Teilentwarnung


    Ich hab' nochmal nachrecherchiert. Da Adobe die Passwörter nach dem seinerzeitigen Hack zurückgesetzt hatte, dürften eventuell von den Hackern "ausgeliehene" Bücher nicht ohne weiteres auslesbar sein. Obwohl ich mir natürlich vorstellen könnte, dass es mit Brute-Force-Methoden dennoch möglich gemacht werden könnte ...


    Jedenfalls fand ich es schon immer unmöglich, den Geburtstag als Passwort zu verwenden. Ich hab' allerdings nie was dazu gesagt, weil ich den Eindruck hatte, dass jeder der Bedenken zur Sicherheit äußerte (z.B. http / https) erst mal abgebügelt würde. Jetzt ärgere ich mich über meine Verzagtheit.

    • Offizieller Beitrag

    Das musst du ohnehin bei deiner Bibliothek tun. Die Onleihe reicht die Passwörter bei der Anmeldung lediglich an den Bibliothekskatalog durch. Und ob dort Geburtsdaten, sonstige Standardpasswörter oder Zufallspasswörter vergeben werden und sich diese vom Nutzer ändern lassen, hängt von der vor Ort verwendeten Software ab.

  • Was ich mich jetzt allerdings frage: laut dieser Mitteilung ist der Katalog bis Jahresende nicht erreichbar. Kommst du überhaupt in die Onleihe rein?

    Mit Katalog ist hier der Katalog für die Medien der Stadtbibliothek gemeint, die dort in Form von Papierbüchern, DVDs, CDs usw. bereitgehalten werden. Das hängt erstmal nicht mit der Onleihe zusammen.


    Sollten die Hacker allerdings – wie vermutet – in den Besitz von Geburtsdaten und Leseausweisnummern gelangt sein, können sie sich damit in der Onleihe anmelden und ihr vorgaukeln zu deren normalen Nutzern zu gehören. Und damit könnten sie eine ganze Menge Unheil anstellen.


    Egal wer jetzt wirklich dafür zuständig ist – ob Onleihe oder Stadtbibliothek – es sollte ganz schnell die Möglichkeit geschaffen werden, dass Nutzer selbst einen Nutzernamen und ein sicheres Passwort (mit Groß-/kleinBuchstaben, Ziffern und Sonderzeichen, wie allgemein empfohlen) wählen können.

    • Offizieller Beitrag

    Irrtum. Das hängt sehr wohl miteinander zusammen. Die Onleihe speichert keine Nutzerdaten. Bei der Anmeldung im Onleihe-Konto wird über eine Schnittstelle beim lokalen Katalog deiner Bibliothek abgefragt, ob du zur Nutzung berechtigt bist. Und nur die Bibliothek ist für diesen Zugang verantwortlich - damit auch für die Konfiguration der Passwörter. Daß es tatsächlich anscheinend noch immer Katalogsoftware gibt, die keine Änderungen der Passwörter durch die Nutzer zuläßt, ist natürlich bedenklich. Aber auf Änderungen muss die lokale Bibliothek pochen, die diese Software einsetzt. Deshalb: wende dich an die Stadtbücherei Frankfurt.

  • Das musst du ohnehin bei deiner Bibliothek tun

    Was zumindest jetzt leider eh' nicht geht.


    Ich hatte immer angenommen, dass das Passwort zur Anmeldung in die Onleihe auch dort geändert werden können sollte (was aber offenbar nicht der Fall ist). Wenn ich das direkt bei meiner Bibliothek machen muss, hab' ich ganz schlechte Karten. Denn deren Online-Auftritt ist bis zum neuen Jahr vom Netz. Das heißt: selbst wenn es dort eine Möglichkeit zur Änderung des Passwortes gäbe (ich hab' dort allerdings noch nie eine gesehen!), könnte ich nichts tun, um die Hacker ggf. daran zu hindern, mit meinen Daten die Onleihe missbräuchlich zu nutzen.


    Selbst der Focus (!) wusste bereits vor 4 Jahren: Name, Geburtstag, Lieblingsfarbe - Mit diesen Passwörtern machen Sie es Hackern leicht.


    Aber vielleicht hat es ja eher Spiegel-Leser unter den Sicherheitsverantwortlichen im Umfeld der Onleihe.:)

  • Irrtum. Das hängt sehr wohl miteinander zusammen.

    Mag sein. Aber jedenfalls nicht so, dass auch der Zugang zur Onleihe gesperrt wäre. Ich komme tatsächlich (bis zum Jahresende oder länger???:() nicht in den Katalog der Stadtbücherei Frankfurt. Kann mich aber bei der Onleihe (OVH) anmelden (wie die Hacker mit meinen Daten möglicherweise auch) und Medien ausleihen (zuletzt heute um 20:15 die FAZ am Sonntag).


    Also entweder geschieht die Berechtigungsanfrage der Onleihe nicht über den lokalen Katalog der Stadtbücherei Frankfurt. Oder es gibt irgendeinen gesonderten Kanal, der speziell für diesen Zweck noch immer offen ist.


    Nur nutzt mir das nichts. Aber den Hackern, falls sie tatsächlich meine Daten haben. Und ich kann nichts dagegen tun.


    Eine andere Frage ist: Können solche Daten mittlerweile nicht verschlüsselt abgelegt werden, so dass Hacker damit erstmal nichts anfangen können?


    Ich denke schon, dass sich da einige Versäumnisse aufsummiert haben, die sich jetzt vielleicht rächen.


    Ich rate – nein bitte! – nein flehe! – alle User der Onleihe an, ihre Bibliothek dazu aufzufordern, sichere Passwörter zu ermöglichen. Was bei der Stadtbücherei Frankfurt passierte kann auch der Dorfbibliothek Hintertupfingen passieren!

  • Ich würde mir eher Sorgen darum machen, dass möglicherweise (sicher ist das ja nicht - sicher ist nur, dass die Seite gehackt wurde) die E-Mail-Adresse in Verbindung mit Klarnamen etc. in die falschen Hände geraten ist.

    Deshalb würde ich Mails, die dort ankommen, mit Vorsicht hoch drei behandeln oder die Adresse gleich deaktivieren.


    Dass die Hacker daran interessiert sind, auf der Onleihe Schaden anzurichten, glaube ich nicht.

    Aber du kannst ja zur Bücherei marschieren und dich vorübergehend dort abmelden. Dann ist (hoffentlich) mit deinen "alten" Daten bei der Onleihe nichts mehr anzufangen.


    Für die betroffene E-Mail-Adresse bedeutet das natürlich keinerlei Sicherheit. Solange die aktiv ist, hilft nichts außer die dort eingehenden Mails genau zu beobachten.

  • Ich würde mir eher Sorgen darum machen, dass möglicherweise (sicher ist das ja nicht - sicher ist nur, dass die Seite gehackt wurde) die E-Mail-Adresse in Verbindung mit Klarnamen etc. in die falschen Hände geraten ist.

    Die eine Sorge schließt die andere nicht aus.


    Was ein Scheiße! Bei dem Adobe-Hack vor 5 Jahren waren – glaube ich – wenigstens die Klarnamen nicht betroffen.


    Ich hoffe, dass die Hacker doch nicht so erfolgreich waren wie man leider befürchten muss! Jedenfalls muss sich in Punkto Sicherheit der Onleihe ordentlich was tun!

    Einmal editiert, zuletzt von ThomasK () aus folgendem Grund: gekürzt

  • Ich hoffe, dass die Hacker doch nicht so erfolgreich waren wie man leider befürchten muss! Jedenfalls muss sich in Punkto Sicherheit der Onleihe ordentlich was tun!

    Die Verwaltung der Kennwörter ist NICHT seitens der Onleihe. Das geschieht ausschließlich auf Seiten der Bibliothek! Es hat hier also gar nichts mit der Sicherheit der Onleihe, sondern der Sicherheit der Bibliothekswebseite zu tun.


    Ansonsten stimme ich natürlich zu, dass ein Geburtsdatum als Passwort ein no-go sein sollte.

  • . Die Onleihe speichert keine Nutzerdaten. Bei der Anmeldung im Onleihe-Konto wird über eine Schnittstelle beim lokalen Katalog deiner Bibliothek abgefragt, ob du zur Nutzung berechtigt bist.

    Das ist nicht ganz korrekt, normalerweise ist es so, dass der Online-Katalog und die Onleihe die selbe Schnittstelle zum lokalen Bibliothekssystem. Wenn der Online-Katalog nicht geht, kann man sich normal trotzdem bei der Onleihe einloggen.

    Aber den Hackern, falls sie tatsächlich meine Daten haben. Und ich kann nichts dagegen tun.

    Du könntest in deiner Heimatbibliothek nachfragen, ob es eine Möglichkeit gibt das Passwort vor dem Jahresende zu ändern. Das System in unserer Bibliothek bietet inzwischen die Möglichkeit ein Zufallspasswort zu vergeben und das kann man dann dem Kunden weitergeben. Damit wäre die Kombination aus Benutzernummer und Geburtsdatum hinfällig.

    Können solche Daten mittlerweile nicht verschlüsselt abgelegt werden, so dass Hacker damit erstmal nichts anfangen können?

    Ich denke mal das wird die IT jetzt auf jeden Fall prüfen und deswegen den Katalog auch so lange vom Netz nehmen. Mehr kann ich dazu nicht sagen, denn so tiefe Einblicke in die Serverstrukturen hat bei unserer Bibliothek nur die IT.

    • Offizieller Beitrag

    dass die Hacker möglicherweise in der Lage sind, sich über die gestohlenen Identitäten beliebig Bücher im OVH auszuleihen. Lesen können sie die allerdings nur, wenn sie ebenfalls über die Adobe-ID verfügen.

    Da muss ich dich (leider) korrigieren: Adobe ID und Nutzerkonto der Onleihe sind nicht verknüpft (außer bei bereits entliehenen eMedien). Sollte sich also jemand in dein Onleihe-Konto hacken, kann er alle eBooks, die er dort selbst entlieht, über seine eigene oder irgendeine andere Adobe ID öffnen und ggf. mit dem entsprechenden Aufwand weiterverbreiten. Es ist also nicht die ID des Ausweisinhabers, sondern nur irgendeine gültige Adobe ID nötig.

    • Offizieller Beitrag

    Sichere Passwörter _möglich_ sind sowieso schon, zumindest bei Datronic-Bibliotheken. Dort können die NutzerInnen jederzeit ihr Passwort über den Webopac ändern, was ja durchaus auch sinnvoll ist. Dennoch bessert die Datronic hier nach, ab Anfang nächsten Jahres (?) soll man direkt aufgefordert werden, das Passwort bitte zu ändern.


    Aber wie gesagt, möglich ist das jetzt bereits... :)

    • Offizieller Beitrag

    Das ist nicht ganz korrekt, normalerweise ist es so, dass der Online-Katalog und die Onleihe die selbe Schnittstelle zum lokalen Bibliothekssystem. Wenn der Online-Katalog nicht geht, kann man sich normal trotzdem bei der Onleihe einloggen.

    Einspruch. Das mag bei gehosteten Bibliothekssystemen stimmen, das kann ich nicht beurteilen. Bei lokal installierter Bibliothekssoftware mit gehostetem Katalog aber nicht. Dort werden (zumindest bei unserer Software) die lokalen Daten mit dem Katalog synchronisiert (und zwar nur die zum Katalogbetrieb erforderlichen, Adressen gehören z.B. nicht dazu), die Authentifizierung für die Onleihe läuft ausschließlich über den Katalog. Und warum melden sich hier immer wieder Nutzer, die nicht auf ihr Onleihe-Konto zugreifen können, weil der Katalog ihrer Bibliothek nicht erreichbar ist?

  • Das mag bei gehosteten Bibliothekssystemen stimmen,

    Wir haben alles lokal vor Ort und bei uns läuft es eben beides über die gleiche Schnittstelle. Der Katalog kann eben alle Daten(Ausleihen & Benutzerdaten) und für die Onleihe wird nur geprüft ob die Login-Kombination stimmig ist. Wenn die Schnittstelle ausfällt geht natürlich auch der Login im Online-Katalog nicht mehr und häufig wird der Online-Katalog bei Arbeiten an der Schnittstelle deaktiviert und dann geht die Onleihe natürlich auch nicht, weil die Schnittstelle nicht geht.

  • Einspruch. Das mag bei gehosteten Bibliothekssystemen stimmen, das kann ich nicht beurteilen. Bei lokal installierter Bibliothekssoftware mit gehostetem Katalog aber nicht. Dort werden (zumindest bei unserer Software) die lokalen Daten mit dem Katalog synchronisiert (und zwar nur die zum Katalogbetrieb erforderlichen, Adressen gehören z.B. nicht dazu), die Authentifizierung für die Onleihe läuft ausschließlich über den Katalog. Und warum melden sich hier immer wieder Nutzer, die nicht auf ihr Onleihe-Konto zugreifen können, weil der Katalog ihrer Bibliothek nicht erreichbar ist?

    Jedenfalls habe ich keinen Zugriff auf den Bestandskatalog der Stadtbücherei Frankfurt, aber sehr wohl auf die Onleihe (OVH), so dass mir Bibliothekarins Erklärung (Online-Katalog und Onleihe je mit Schnittstelle zum lokalen Bibliothekssystem) durchaus plausibel erscheint. Es kann natürlich durchaus sein, dass dies bei anderen Bibliotheken nicht in gleicher Weise konstruiert ist.

    Du könntest in deiner Heimatbibliothek nachfragen, ob es eine Möglichkeit gibt das Passwort vor dem Jahresende zu ändern

    Sehr gute Idee! Ich habe das mal gemacht – bin gespannt auf die Reaktion und ob die Jungs und Mädels von der IT meiner Bibliothek fit und flexibel genug sind, darauf zu reagieren und den möglichen Schaden somit wenigstens weiter einzuhegen, wenn sie den Hack selbst schon nicht haben verhindern können.

  • Soweit mir bekannt ist, kann man sich bei Nichterreichbarkeit der Heimatbibliothek nur dann einloggen, wenn man das "in letzter Zeit" gemacht hat. Da gibt es eine Art cache bei der Onleihe. Damit werden aber auch dann keine anderen Nutzerdaten abgefragt, außer Benutzernummer und Password...

    Gruß,
    Bibliotheksmensch