Nutzerdaten der Frankfurter Stadtbücherei gehackt – ein offenbar unterschätztes Sicherheitsrisiko

14.02.2019| Beta-Phase der Onleihe-App nähert sich dem Ende!
Eine kurze Information zur Beta-Version für iOS und Android finden Sie HIER.

08.02.2019| Hinweis zur Nutzung der eAudio in Onleihe-App und am PC.
Informationen dazu gibt es HIER.

14.02.2019| Vereinzelte eBooks ausgeblendet.
Aufgrund von Medienfehlern wurden vereinzelte eBooks ausgeblendet. Bei Aufruf aus dem OPAC oder einer Vormerkungs-eMail kann es dadurch u.a. zu einem "unerwarteten Fehler" kommen.
Wir halten Sie dazu auf dem Laufenden.

  • Lesen können sie die allerdings nur, wenn sie ebenfalls über die Adobe-ID verfügen.


    Das stimmt AFAIK nicht.


    Neu ausgeliehene Titel können mit Adobe Digital Editions auch ohne Adobe-ID-Bindung ausgeliehen und dann mit denen Schindluder getrieben werden.

    Lediglich Titel, die bereits geliehen wurden und sich aktuell in der Ausleihe befinden, können nicht erneut mit ADE ohne passende ID geladen werden.



    Apropros ID: Wer hat sich eigentlich das mit dem Geburtsdatum ausgedacht? Wir haben 2018.

  • bin gespannt auf die Reaktion und ob die Jungs und Mädels von der IT meiner Bibliothek

    Ich wünsche es dir, so klein ist die Stadt ja nicht ;-)

    Soweit mir bekannt ist, kann man sich bei Nichterreichbarkeit der Heimatbibliothek nur dann einloggen, wenn man das "in letzter Zeit" gemacht hat. Da gibt es eine Art cache bei der Onleihe. Damit werden aber auch dann keine anderen Nutzerdaten abgefragt, außer Benutzernummer und Password...

    Wenn das Bibliothekssystem nicht erreichbar ist, dann gibt es eben diesen Cache. Aber je nach System kann das eben sein, dass eben die Zugriffswege unterschiedlich sind. Bei uns läuft der Zugriff definitiv nicht über den Onlinekatalog sondern eben über diese E-Medien-Schnittstelle.


    D.h. euer System vor Ort läuft 24/7?

    Die Server der Stadt laufen natürlich rund um die Uhr, die PCs in der Bibliothek nicht. Die Rechner greifen direkt auf den Server zu. Und wie gesagt der Online-Katalog und die Onleihe nutzen die gleiche Schnittstelle um auf die Datenbank vom Bibliothekssystem zuzugreifen. Daher ist es bei unserem System unproblematisch wenn die Oberfläche bzw. der Server vom Online-Katalog nicht geht, die Onleihe geht trotzdem. Weil unser Online-Katalog hat in letzter Zeit öfters nen Hänger gehabt, die Onleihe war davon nicht betroffen und ich hab es mir im Handbuch auch extra nochmal angeschaut, dass es bei uns definitiv voneinander unabhängig ist.

  • Hallo zusammen,


    dass bei vielen Bibliotheken als Passwort das Geburtsdatum eingetragen ist, liegt bei den Bibliotheken und den Software-Häusern, die deren Schnittstellen anbieten.


    Die Software-Häuser müssen dies zwar umsetzen, die Anfragen kommen jedoch von den Bibliotheken - die dann auch die Kosten tragen.

    Hier findet nach und nach schon ein Umdenken statt.


    Welche Daten bei der Bibliothek Frankfurt als Passwort angegeben werden müssen, ist auf der Anmeldeseite - anders als bei manch anderen Bibliotheken - nicht angegeben. Laut der Bibliothek wurde bereits vor einiger Zeit aufgefordert, das Passwort zu ändern - möglich ist es also.


    Die Hessen-Onleihe kann jedenfalls weiterhin von den Frankfurtern genutzt werden. Ich sehe das als angenehmes Feature!


    Die "Frankfurter" sind dran.

    Alle (weiteren) Fragen dazu, kann euch aber ausschließlich die Frankfurter Bibliothek beantworten.


    Freundliche Grüße

    divibib-Support

  • Laut der Bibliothek wurde bereits vor einiger Zeit aufgefordert, das Passwort zu ändern - möglich ist es also.

    Also, ich kann mich nicht erinnern. Allerdings hat man mir nun geschrieben, dass ich persönlich vorbeikommen und das Passwort ändern lassen könne. Etwas umständlich – aber immerhin. Es scheint neuerdings also tatsächlich möglich zu sein.


    Okay, divibib ist unschuldig. Vielleicht hätten sie darauf bestehen können, dass deren Kunden (die Bibliotheken) für sichere Passwörter sorgen. Aber geschenkt. Wir alle haben uns doch darüber gewundert, dass als Passwort (bei den meisten Bibliotheken) das Geburtsdatum der Nutzer verwendet wurde. Aber wer hat das denn wirklich moniert? Ich auch nicht:(.


    Ich stelle mir vor, dass ein Passwort als Folge zufälliger Zeichen generiert wird, oder der Nutzer sich eines zusammenstellt, wobei allerdings einige Bedingungen (Verwendung auch von Sonderzeichen und Ziffern) zu beachten sind. Ein Geburtsdatum könnte bestenfalls als Initialkennwort dienen, das nach spätestens 1 oder 2 Tagen wieder gesperrt wird, wenn der Nutzer bis dahin kein gescheites Passwort ausstellt. Und die Passwörter müssten verschlüsselt abgespeichert werden.


    Und der Anbieter, der weniger bietet, sollte von seinen Usern auf die Finger bekommen. Denn er spielt unverantwortlich mit deren Sicherheit und Wohlbefinden. Also beschwert euch bei euren Heimatbibliotheken, fallt ihnen auf die Nerven, bis sie dafür Sorge tragen, dass gescheite Passwörter möglich – oder besser obligatorisch – sind! Denn ihr seid im Zweifel die Leittragenden von Identitätsdiebstahl und Spamming nach einem Hackerangriff!


    Und auch die divibib selbst kann mehr tun: Auch wenn sie nicht selbst unmittelbar für die Sicherheitsmängel bei ihren Kunden verantwortlich ist, wird sie doch niemand daran hindern, Ihren Kunden die Einhaltung minimaler Standards nahe zu legen.

  • Apropros ID: Wer hat sich eigentlich das mit dem Geburtsdatum ausgedacht? Wir haben 2018.

    Könnte auch ein Zugeständnis an die Nutzer sein. Das eigene Geburtsdatum können sich alle merken. Fremde Geburtsdaten ink. Jahr kennt man oft nicht mal von der erweiterten Familie.


    Ingo  

    Welcher Schaden kann mir entstehen, wenn jemand mein Kennwort in der Onleihe kennt und sich damit unberechtigt Zugang verschafft?

  • Und auch die divibib selbst kann mehr tun: Auch wenn sie nicht selbst unmittelbar für die Sicherheitsmängel bei ihren Kunden verantwortlich ist, wird sie doch niemand daran hindern, Ihren Kunden die Einhaltung minimaler Standards nahe zu legen.

    Was wir wann wem schon alles "nahegelegt" haben oder die Kommunikation im Dreieck Bibliothek, Software-Haus und divibib ganz allgemein gehört sicher nicht hierhin.


    Selbstverständlich darf sich jeder interessierte Nutzer an die Bibliotheken und Software-Häuser wenden. Die Bibliotheken geben gerne Auskunft und auch die jeweiligen Software-Anbieter sind über den genutzten OPAC sicher zügig recherchierbar.


    Hier besteht einfach kein Informationsbedarf seitens der divibib, wenn es keine Änderungen bei den beiden o.g. Parteien gibt.

    Zu allem weiteren können euch wirklich nur diese auch Auskunft geben.


    Freundliche Grüße

    divibib-Support

  • Ingo


    Welcher Schaden kann mir entstehen, wenn jemand mein Kennwort in der Onleihe kennt und sich damit unberechtigt Zugang verschafft?

    Im Prinzip keiner, außer dass jemand über dein Konto eMedien ausleihen kann, so dass du es eventuell nicht mehr kannst, weil das maximale Ausleihlimit erreicht ist.

  • Ich war heute endlich in der Stadtbücherei Frankfurt ...

    ... und habe mein Kennwort geändert. Nun könnten sich die Hacker nicht mehr mit von mir gestohlener Identität in der Onleihe (OVH) anmelden.


    Dennoch bin ich nicht völlig zufrieden. Die Dame am Schalter der Zentralbibliothek war zwar sehr freundlich und zuvorkommend, aber dass ich ihr mein neues Kennwort nennen musste und sie selbiges eintippte, kann nicht Stand der Dinge sein! Denn theoretisch könnte jetzt diese Bibliotheksmitarbeiterin mein Passwort missbrauchen. Und praktisch könnte sie in einen falschen Verdacht geraten falls mein Kennwort erneut kompromittiert werden sollte. Sicherheit für Nutzerdaten und Mitarbeiter sieht jedenfalls anders aus!


    Die Stadtbücherei Frankfurt a. M. wirbt zur Zeit überall damit, dass sie Bibliothek des Jahres 2018 sei. Auf Grund ihres Datensicherheitskonzepts kann sie diesen Titel jedenfalls nicht erhalten haben. Eigentlich ziemlich peinlich.

  • Ich war heute endlich in der Stadtbücherei Frankfurt ...

    ... und habe mein Kennwort geändert. Nun könnten sich die Hacker nicht mehr mit von mir gestohlener Identität in der Onleihe (OVH) anmelden.

    Haben diese bösen Bibliotheks-Hacker dich denn schon beraubt oder sonstwie geschädigt?

    Die Dame am Schalter der Zentralbibliothek war zwar sehr freundlich und zuvorkommend, aber dass ich ihr mein neues Kennwort nennen musste und sie selbiges eintippte, kann nicht Stand der Dinge sein! Denn theoretisch könnte jetzt diese Bibliotheksmitarbeiterin mein Passwort missbrauchen. Und praktisch könnte sie in einen falschen Verdacht geraten falls mein Kennwort erneut kompromittiert werden sollte.

    Nun ja, gähn:sleeping:. Ein wenig paranoid, was? Was kann sie denn schon damit anstellen? Maximal 10 Bücher auf deinen Account ausleihen, dann kannst Du maximal 3 Wochen oder so nix lesen. Oder dein Onleihe-Paßwort verhökern - da wird sie aber reich bei. Und?


    Ich habe mir das jetzt hier die ganze Zeit angeschaut, aber machst Du jetzt nicht ein SEHR großes Faß auf. Laß' doch bitte die Kirche im Dorf!

  • Zum x-ten Mal: hier ist der falsche Ort für deine Beschwerden. Dafür ist einzig und allein deine Bibliothek zuständig.

    Nein. Der Ort ist genau der richtige. Denn nur hier erreiche ich die Leute, die sich als Bibliotheksnutzer dafür einsetzen können, dass ihre Bibliotheken den Schutz der Daten ihrer Leser endlich ernster nehmen. Und außerdem ist die Möglichkeit keineswegs völlig auszuschließen, dass sich der Hack der Benutzerdaten auch auf die Onleihe auswirkt.

    Haben diese bösen Bibliotheks-Hacker dich denn schon beraubt oder sonstwie geschädigt?

    Nein. Bisher nicht. Und ich möchte, dass das so bleibt. Und deshalb habe ich ein großes Interesse daran, dass Datensicherheit endlich ernst genommen wird. Und dafür trete ich hier ein, selbst wenn mir das von Ignoranten vorgeworfen wird.

    Nun ja, gähn. Ein wenig paranoid, was? Was kann sie denn schon damit anstellen? Maximal 10 Bücher auf deinen Account ausleihen, dann kannst Du maximal 3 Wochen oder so nix lesen. Oder dein Onleihe-Paßwort verhökern - da wird sie aber reich bei. Und?

    Ich fürchte, das wurde nicht richtig verstanden. Ich glaube auch nicht, dass die Dame am Schalter sich mein Passwort merkt, um damit, sobald ich ihr den Rücken zugekehrt habe, damit Unfug zu treiben. Aber ein empfehlenswertes Verfahren ist es nicht, wenn die Datensicherheit allein von der Integrität der MitarbeiterInnen abhängt. Auch liegt es im eigenen Interesse der Mitarbeitenden, wenn sie über möglichst wenig "Geheimwissen" wie Passwörter, Kundendaten usw. verfügen – denn: ein Geheimnis, das nicht gewusst wird kann – weder aus Versehen, noch in böser Absicht – verraten werden und niemand kann einen in Folge dessen dafür belangen.


    All das ist nur solange "paranoid" bis die ständige Nachlässigkeit irgendwann dazu führt, dass doch einmal ein richtig gravierender Schaden eintritt. Die Lässigkeit mit der ein Geburtstag als Passwort fungiert oder ein Passwort einer Mitarbeiterin mitgeteilt werden muss, um geändert zu werden, ist für mich auch ein Indikator dafür, dass möglicherweise auch andere, vielleicht etwas subtilere, weniger offensichtliche Dinge im Zusammenhang mit Datenschutz und -sicherheit im Argen liegen.


    Aber niemand ist gezwungen, sich darüber Gedanken zu machen. Ihr könnt mich ja einfach ignorieren und gut.

    Dieser Beitrag wurde bereits 1 Mal editiert, zuletzt von ThomasK ()

  • Woher willst du nur wissen, wer sich worüber Gedanken macht...

    Will ich doch gar nicht wissen. Erst recht niemandem vorschreiben. Aber mir bitte auch nicht. Das ist schon alles.

    Lies dich einfach mal ein: https://digitalcourage.de/ (vormals FoeBuD)

    Wikipedia: Digitalcourage [...] ist ein [...] Verein für technik- und gesellschaftspolitisch interessierte Menschen mit Sitz in Bielefeld [...]


    Und wir wissen doch alle: 1. Bielefeld existiert nicht und 2. Unsere Daten sind sicher.

    (und gelegentlich vielleicht auch mal hier: https://www.stupidedia.org/stupi/Neunmalklug )

    Dazu vgl. bitte: Individueller Benutzertitel von ThomasK.

  • Selbst wenn auch ich das Fass unnötig groß finde, sollte man doch den Blick für Zusammenhänge ein wenig schärfen bzw. mögliche "Weiterentwicklungen" im Auge behalten. Definitiv kann mir beim Hacken meines Accounts kein großer Schaden entstehen. Das mag bei vielen anderen "Gelegenheiten" auch der Fall sein. Aber dann kommt einer und etabliert ein neues Geschäftsmodell, das die Angabe einer Kontoverbindung erfordert oder die weiterer persönlicher Daten. Dann wird's plötzlich interessanter...


    Aber zumindest ermöglicht so etwas im Fall des Einbruchs das Komponieren immer echter wirkender Phishing-Mails, die sich durch vermeintlich vertrauliche Daten, die womöglich tatsächlich bei dem als vertrauenswürdig geltenden, wenn auch gefakten Absender hinterlegt sind, als echt empfehlen. Ich hab z. B. in letzter Zeit einige mit meiner Mobilrufnummer erhalten - keine Ahnung, woher und wann die erhackt wurde. Glücklicherweise bestelle ich weder bei Firmen, die ausschließlich Klarna oder Paypal nutzen, noch bin ich Kunde der meist für Phishing als vermeintliche Absender genutzten Banken. Bei mir laufen also alle "Mahnungen" ins Leere. Eh nutze ich den Versandhandel nur recht selektiv und selten.


    Dann bleiben noch die Überlegungen, dass eine geklaute, teils verschlüsselte Datenbank mit Vorliegen von immer mehr Klardaten um so leichter nachträglich entschlüsselt werden kann. Dabei können die Klardaten auch aus einem ganz anderen, "harmlosen" Hack stammen. Und dass neue/überarbeitete Schnittstellen plötzlich unintentional den Internet-Zugang zu Daten ermöglichen, die vorher dafür gar nicht erreichbar waren - eventuell auch nur per Hack. So mag dann mit einiger Verzögerung meine zur Zahlung der Jahresgebühr hinterlegte Kontoverbindung doch irgendwo auftauchen, wo sie nicht hingehört und ohne, dass der Zusammenhang bzw, der Weg sich noch direkt erschlösse.


    Daten(un)sicherheit ist keine feststehende Tatsache, sondern eine Entwicklung über Jahre hinweg an nicht unbedingt miteinander in Bezug stehenden Stellen. Zumindest dann, wenn kriminelle Energie und/oder Behörden dahinter stecken. Schon vor Jahrzehnten wurden vom MfS geklaute und auf Eis gelegte Identitäten zur Einschleusung von Mitarbeitern (als zurückgewanderte BRD-Bürger) genutzt. Persönliche Daten verwelken nicht wie Blumen, selbst Telefonnummern und Bankkonten wechselt man eher selten...

    Niemand beabsichtigt, in Berlin einen neuen Flughafen zu errichten! - Niemand beabsichtigt, eine fehlerlose Software zu programmieren! - Niemand beabsichtigt, ein langfristig störungsfrei nutzbares Gerät auf den Markt zu bringen!

  • Natürlich sollte man die Zusammenhänge im Auge behalten. Aber sich eben auch immer wieder bewusst machen, dass man selbst auf seine eigenen Daten aufpassen muss. Ein Geburtsdatum ist nun mal kein auch nur andeutungsweise sicheres Passwort. Das weiß ich, also hinterlege ich keine Kontonummer. Tue ich das doch - meine eigene Blödheit.

    Und wenn ich nicht mitkriege, dass man dieses PW ändern kann - wieso soll die Bücherei dafür verantwortlich sein? Ich könnte ja eigeninitiativ bei der Bücherei anfragen, ob und wo ich mein PW ändern kann. Muss man mich auf alles mit der Nase stoßen?

    Auch die Existenz von Pishing-Mails ist eine mittlerweile bekannte Tatsache, was mich dazu veranlasst, beim Anklicken von Links in Mails oder beim Öffnen von Anhängen extrem vorsichtig zu sein.


    Selbst wenn meine Daten noch so gut geschützt werden - es kann sich immer jemand finden, der dort ein Einfallstor entdeckt.

    Also muss ich mich jedes Mal, wenn ich irgendwo im Netz persönliche Daten angebe, fragen, ob ich das Risiko, dass die Daten (auch über Umwege) in falsche Hände geraten, eingehen möchte.


    Im "smarten" Zeitalter wird der Datenschutz immer problematischer, gerade weil User die Dinge gern möglichst einfach hätten. Beispiel Alarmanlage. Ich kann sie mit dem Internet verbinden und werde, egal wo ich bin, benachrichtigt, wenn das Dings losgeht. Aber ich schaffe damit eben auch ein Einfallstor für Unbefugte.

    Und auch mein Router... also ich habe mein PW auf 64 Stellen runtergebrochen; aber sicher fühle ich mich damit noch lange nicht.


    Dass das Bewusstsein für Datensicherheit geschärft werden muss, finde ich auch. Nur ist jede "Sicherheit" leider auch nur eine trügerische.

    Natürlich sollten die Kommunen Geld in die Hand nehmen und mehr für den Datenschutz tun. Aber der User ist eben auch sauer, wenn das mehr Geld kostet (gleichgültig ob über Steuern oder Direktbeiträge).

  • ThomasK ich stimme dir zu, die Vorgehensweise ist eindeutig prä-DSGVO ;) dennoch wäre es sinnvoller, wenn du deine Beschwerden an die SB Frankfurt richten würdest. Die haben z.B. auch eine eigene Facebook-Seite - das wäre mE ein geeignetere Ort, auf diesen Missstand aufmerksam zu machen.

    Stadt- und Schulbücherei
    buecherei.gunzenhausen.de

  • Die Dame am Schalter der Zentralbibliothek war zwar sehr freundlich und zuvorkommend, aber dass ich ihr mein neues Kennwort nennen musste und sie selbiges eintippte, kann nicht Stand der Dinge sein!

    Solange der Online-Katalog in der Bibliothek nicht funktioniert ist das vielleicht die einzige Möglichkeit. Sobald dieser wieder am Laufen ist sollte die Passwortänderung auch auf anderem Wege wieder möglich sein. Man sollte hier schon auch Verständnis haben, dass die Mitarbeiterin den PC nicht einfach an einem Kunden überlassen kann, damit dieser sein Passwort eintippen kann. Wie Kakaokau schon sagte: dass sich vor Ort bei dir was ändert, das wird nur dann funktionieren, wenn du es dort auch kundtust.