Nutzerdaten der Frankfurter Stadtbücherei gehackt – ein offenbar unterschätztes Sicherheitsrisiko

onleihe:hilfe
Aktuelle Meldungen finden Sie stets auf der :hilfeseite für die Onleihe.

  • passwordbibl.JPG

    So sieht das entsprechende Feld (bei uns) aus, nachdem für einen Leser ein Kennwort vergeben wurde. Und nein, danach gibt es für uns (Bibliotheksangestellte) keine Möglichkeit, an das Password heran zu kommen.

    Wir könnten es höchstens mit einem eigenen überschreiben oder es uns halt zusammen mit der Ausweisnummer bei der Anmeldung merken oder abschreiben usw.

    Gruß,
    Bibliotheksmensch

  • Und wenn ich nicht mitkriege, dass man dieses PW ändern kann - wieso soll die Bücherei dafür verantwortlich sein? Ich könnte ja eigeninitiativ bei der Bücherei anfragen, ob und wo ich mein PW ändern kann. Muss man mich auf alles mit der Nase stoßen?

    Du siehst doch selbst, wie unbedarft die Leute sind, wenn Du Dir einige der Forumsbeiträge hier ansiehst. Natürlich muss man die Leute darauf stoßen, dass sie ihr Passwort ändern sollen! Es ist auch kein softwaretechnisches Kunststück, ein Programm so zu schreiben, dass der Nutzer ein Initialpasswort geändert haben muss, bevor ihm Zugang gewährt wird (oder vergleichbare Mechanismen).

    Wir könnten es höchstens mit einem eigenen überschreiben oder es uns halt zusammen mit der Ausweisnummer bei der Anmeldung merken oder abschreiben usw.

    "Wir könnten es höchstens (!) [...] bei der Anmeldung merken oder abschreiben usw." Das heißt, der Schutz der Daten vor unberechtigtem Zugriff durch das eigene Personal (keine Unterstellung – sowas kommt gelegentlich vor) hängt in erster Linie von der Vergesslichkeit oder einer vorhandenen Dyslexie der Mitarbeiter ab. Tolles Sicherheitskonzept!

    dennoch wäre es sinnvoller, wenn du deine Beschwerden an die SB Frankfurt richten würdest. Die haben z.B. auch eine eigene Facebook-Seite - das wäre mE ein geeignetere Ort, auf diesen Missstand aufmerksam zu machen.

    Natürlich habe ich das bereits gemacht. Und ich erwarte auch, dass sich dort etwas bessert. Dennoch finde ich die bisherigen Maßnahmen noch nicht ausreichend um unter anderem den Zugriff auf die Onleihe zu schützen und des weiteren habe ich die Vermutung, dass die Datensicherheit auch bei anderen, an der Onleihe beteiligten Bibliotheken völlig unzureichend ist.


    Aktuelles Beispiel – Onleihe Verbund Rheinland Pfalz:

    Bildschirmfoto vom 2018-12-20 15:46:09.png


    Ich versuche – im Interesse aller Nutzer, also auch in meinem – auf diese Missstände aufmerksam zu machen und, wenn möglich, auch ein wenig Druck aufzubauen, diese zu beseitigen. Was allerdings nicht klappt, wenn fast alle potenziell Betroffenen nur abwiegeln anstatt die Verantwortlichen aufzufordern, endlich mehr für die Sicherheit zu tun.

    • Offizieller Beitrag

    Da steht "Standardpasswort". Das gibt es bei uns auch (wenn auch in anderer Form), aber mit der Möglichkeit, es jederzeit online selbst zu ändern - beispielsweise direkt nach der Anmeldung in der Bücherei an einem Recherche-PC. Theoretisch haben wir auch die Möglichkeit, bei der Anmeldung ein Zufallspasswort zu vergeben, das ausgedruckt und dem Leser ausgehändigt wird. Könnte also von der bearbeitenden Mitarbeiterin ebenfalls gelesen und auswendig gelernt werden. Praktisch verschludert ein Großteil der Menschheit den Zettel bis zur ersten Anmeldung und muss dann wieder auf Standard zurückgesetzt werden.


    Irgendein Standard muss ja wohl bis zur ersten Online-Anmeldung gewählt werden (wenn nicht - siehe oben - ein Zufallspasswort vergeben wird). Und bis der Leser das Passwort ändert, bleibt es dann eben so. Wenn er es denn ändert. Der maximal anzurichtende Schaden sind Ausleihen, die er nicht selber getätigt hat. Ich weiß nicht, ob jemand seine kriminelle Energie in so etwas investieren will...

  • "Wir könnten es höchstens (!) [...] bei der Anmeldung merken oder abschreiben usw." Das heißt, der Schutz der Daten vor unberechtigtem Zugriff durch das eigene Personal (keine Unterstellung – sowas kommt gelegentlich vor) hängt in erster Linie von der Vergesslichkeit oder einer vorhandenen Dyslexie der Mitarbeiter ab. Tolles Sicherheitskonzept!

    Selbst wenn bei der Anmeldung ein Zufallspasswort vergeben wird (was manche Systeme können) so muss dieses vom Mitarbeiter an den Kunden übermittelt werden. Es lässt sich also nicht verhindern, dass der Mitarbeiter das erste Passwort zu Gesicht bekommt. Ich wüsste zumindest nicht, wie das gehen sollte.


    Ich gebe offen zu, dass unsere Bibliothek das Standardpasswort "Geburtsdatum" verwendet. Auf unserer Seite findet sich aber ein großer Hinweis, dass dies nicht sicher ist und geändert werden sollte. Auf der Onleihe-Seite bringt ein entsprechender Hinweis nichts, denn die Änderung ist nur im Online-Katalog möglich. Die Anzeige bei der Onleihe sagt nur, was es am Anfang mal war, ob die jeweilige Bibliothek darauf hinweist und drängt, dass das Passwort geändert wird ist daraus nicht ersichtlich.


    [Edit: Kakaokau war schneller]

  • Ich finde das weit größere Problem bei Hackerangriffen jeglicher Art ist, daß dieselben oft erst Jahre später bekannt werden.


    Warum da nicht sofort informiert wird, bzw. informiert werden muss, ist mir schleierhaft.


    Den Hackerangriff bei einer Bücherei nehme ich, ehrlich gesagt, nicht sonderlich ernst. Außerdem hat sich niemand gemeldet, der von Fremdausleihen berichtet hat.


    Wenn die Mitarbeiter in meiner Heimatbibliothek mein Passwort kennen, regt mich das überhaupt nicht auf, ich habe da vollstes Vertrauen.

    Und ich darf gleich noch dazusagen, dass ich meine Passwörter nicht alle drei Tage ändere. Und sonderlich kryptisch sind die auch nicht, denn wenn gehackt wird,

    ist es wohl wurscht, ob es ein Geburtsdatum oder eine 24-stellige Fantasiezusammenstellung ist.


    Jetzt hab ich mich wohl passworttechnisch um Kopf und Kragen geredet.

  • Wenn die Mitarbeiter in meiner Heimatbibliothek mein Passwort kennen, regt mich das überhaupt nicht auf, ich habe da vollstes Vertrauen.

    (Jetzt wundere ich mich auch nicht mehr, dass der Enkeltrick immer noch funktioniert)


    Also das ist etwa so wie der Wohnungsschlüssel unter der Fußmatte vor der Eingangstür. Macht euch das bitte endlich mal klar!

  • (Jetzt wundere ich mich auch nicht mehr, dass der Enkeltrick immer noch funktioniert)


    Also das ist etwa so wie der Wohnungsschlüssel unter der Fußmatte vor der Eingangstür. Macht euch das bitte endlich mal klar!

    Sie muss deshalb noch lange nicht auf Enkeltricks reinfallen.

    :rolleyes: ein Standard-Passwort nicht zu verändern ist mMn eine persönliche Freiheit. Wer z.B an vielen Positionen Passwörter benötigt, ist oft froh, wenn er sich manche Passwörter einfach merken kann, zumal der anzurichtende "Schaden" bei einem gehackten Bibliothekszugang eher gering sein wird.

  • zumal der anzurichtende "Schaden" bei einem gehackten Bibliothekszugang eher gering sein wird.

    Wozu dann überhaupt noch Passwörter? soll sich doch jeder ohne Passwort und ID in den Bibliothekskatalogen und Onleihen anmelden können – den Programmierern der Zugangssoftware bliebe viel Mühe und Aufwand erspart. Mir sträuben sich die Haare!


    Diese Verharmlosung die hier von einigen betrieben wird ... weiß denn irgendjemand, von denen, die hier ganz selbstverständlich der Ansicht zu sein scheinen, dass Hack und Datennapping bei der Frankfurter Stadtbücherei nur Pille-Palle seien, was die Täter bezwecken und welche Möglichkeiten sich ihnen mit Daten, die sie eventuell an anderen Stellen erbeutet haben und nun zusammenführen, eröffnen? Okay, mag sein, dass die Täter den Nutzen ihrer Beute vor der Tat überschätzt haben und das Zeugs tatsächlich nicht viel hergibt. Was aber wenn nicht und wir nur nicht genug Phantasie (oder Wissen darüber) haben, was sich damit anstellen lässt? Jedenfalls würde ich mich besser fühlen, wenn ich davon überzeugt sein könnte, dass meine Daten bei Bibliothek und Onleihe sicher sind.


    Und das sollten wir als Nutzer einfordern anstatt hier mit einem lauen "was soll denn schon passieren" einen eigentlich unhaltbaren Zustand zu verteidigen.

  • (Jetzt wundere ich mich auch nicht mehr, dass der Enkeltrick immer noch funktioniert)

    Warum so aggressiv? Nun glätten Sie Ihr gesträubtes Gefieder.


    Bin ich deshalb ein leichtes Opfer für Schwerverbrecher, wenn ich Büchereimitarbeitern traue?


    Was mit unseren Daten geschieht, haben wir schon lange nicht mehr im Griff, es sei denn, man benutzt keinerlei Internet, Handy etc.


    Da darf ich dann aber auch kein Bankkonto, Fernsehen, Kreditkarte, und was weiß ich noch alles haben.


    Dann kann ich gleich im Garten ein Loch graben, mich reinsetzen und warten bis es vorüber ist.

  • Bin ich deshalb ein leichtes Opfer für Schwerverbrecher, wenn ich Büchereimitarbeitern traue?

    Ganz klar: ja. Wenn Du Deine PIN auf einem Zettel in der Brieftasche mitführst, den Wohnungsschlüssel unter dem Fußabstreifer "versteckst", Passwörter auf der Arbeit auf ein Post-it schreibst (Du vertraust doch Deinen Kollegen?) und an den Bildschirm heftest, Passwörter generell an Dritte mitteilst ... dann bist Du allerdings ein leichtes Opfer.

    Da darf ich dann aber auch kein Bankkonto, Fernsehen, Kreditkarte, und was weiß ich noch alles haben.

    Jedenfalls kennt kein Mitarbeiter Deiner Bank die PIN Deiner Girocard.


    Und ja, Du hast recht, dass es gewisse Risiken bei der Nutzung all dieser Dienste gibt. Die werden aber nicht kleiner wenn die Kunden so vertrauensselig sind und nichts dabei finden, wenn Passwörter fremden Menschen (dazu gehören auch Bibliotheksmitarbeiter) mitgeteilt werden bzw. Identifizierungsverfahren überhaupt vermeidbar unsicher sind.


    Ich könnte Dir natürlich nicht verbieten, Dir Deine PIN auf die Stirn tätowieren zu lassen – würde Dir aber dringend abraten.

  • , wenn Passwörter fremden Menschen (dazu gehören auch Bibliotheksmitarbeiter) mitgeteilt werden

    Ich glaube hier ging es nicht drum, dass man sein geändertes Passwort der Bibliothek mitteilt sondern, dass man das voreingestellte Passwort einfach nicht geändert hat und es dadurch bekannt ist.

    Ich denke keiner hier wird sein Passwort ändern und dann in die Bibliothek gehen und sagen mein Passwort lautet XYZ.

    Und sind wir ganz ehrlich, wenn man jeden Tag so viele verschiedene Kunden in der Bibliothek hat, wird sich da kaum jemand ein Kennwort merken können.

  • Ich denke keiner hier wird sein Passwort ändern und dann in die Bibliothek gehen und sagen mein Passwort lautet XYZ.

    Ich glaube, das war auch nicht so gemeint, sondern dass man zum Ändern seines Passwortes, dieses einer Bibliothekarin mitteilt und diese das dann eintippt (was bei mir neulich in der Bibliothek des Jahres 2018 auch so gewesen ist).

    Und sind wir ganz ehrlich, wenn man jeden Tag so viele verschiedene Kunden in der Bibliothek hat, wird sich da kaum jemand ein Kennwort merken können.

    Und sind wir noch ehrlicher: Wenn unter ein paar hunderten oder tausenden netten und vergesslichen Bibliothekarinnen ein oder zwei böswillige mit gutem Gedächtnis sind, dann haben die vielleicht ein fremdes Passwort und die Möglichkeit, es auch einzusetzen.


    Jetzt fragt sicher wieder jemand, wozu sollte das irgendwer machen? Was könnte man da überhaupt gewinnen? Aber sind denn nur materielle Motive denkbar? Nur mal angenommen, ein Angestellter fühlt sich bei seiner Arbeit übergangen oder ungerecht behandelt und möchte sich dafür rächen. Mit ein paar Kundenpasswörtern könnte der schon einiges anstellen. Gut, ich mag eine schlechte Phantasie haben. Aber genau solche Dinge sind schon vorgekommen.

  • Ganz klar: ja. Wenn Du Deine PIN auf einem Zettel in der Brieftasche mitführst, den Wohnungsschlüssel unter dem Fußabstreifer "versteckst", Passwörter auf der Arbeit auf ein Post-it schreibst (Du vertraust doch Deinen Kollegen?) und an den Bildschirm heftest, Passwörter generell an Dritte mitteilst ... dann bist Du allerdings ein leichtes Opfer.

    So per Du sind wir auch schon. Na bravo.


    Sie müssen ja ganz genau wissen, wie ich meine persönliche Sicherheit handhabe.


    Sie machen aus einer Mücke einen Elefanten. Tun so als wäre das Pentagon gehackt worden.


    Was glauben Sie von wie vielen geglückten Hackerangriffen wir nichts oder erst Jahre später (jetzt zitiere ich mich schon selbst) erfahren, da fällt die Panne

    bei der Bücherei nicht ins Gewicht.


    Wenn Sie das für sich bombensicher geregelt haben, wie schön für Sie.


    Aber stellen Sie uns hier nicht alle als Idioten hin, weil wir noch in der Lage sind ruhig zu bleiben, abzuwägen und bei Bedarf zu handeln.

  • So per Du sind wir auch schon. Na bravo.

    Verzeihen Sie bitte gnädige Frau, aber in diesem Forum ist das "Du" eigentlich üblich (wie in den meisten Chats und Foren). Wenn Sie das jedoch nicht wünschen, werde ich das selbstverständlich respektieren.

  • Mit ein paar Kundenpasswörtern könnte der schon einiges anstellen. Gut, ich mag eine schlechte Phantasie haben. Aber genau solche Dinge sind schon vorgekommen.

    Was genau könnte der denn damit im Detail anstellen? Beschreibe doch bitte hier mal explizit, welche möglichen Schädigungsvorgänge im Bereich der Onleihe bzw. deiner Bibliothek es denn gibt, die Du fürchtest!


    Welche Dinge sind denn wo schon genau vorgekommen? Kannst Du Beispiele mit Belegen, Pressemeldungen oder -darstellungen solcher "Dinge" nennen, bei denen ein Mitarbeiter der Bibliothek oder Onleihe ein Kundenpasswort für schädliche "Dinge" verwendet hat? Wo ist sowas denn schon vorgekommen, hast Du ein belegbares Beispiel für so einen Fall?


    Paranoia oder schlechte Phantasie können manchmal doch arg weit weg vom Boden der Tatsachen führen - oder weißt Du etwas, was wir alle uns noch nicht mal im Traum vorstellen können?.

    Einmal editiert, zuletzt von PeterSch ()

  • Welche Dinge sind denn wo schon genau vorgekommen? Kannst Du Beispiele mit Belegen, Pressemeldungen oder -darstellungen solcher "Dinge" nennen, bei denen ein Mitarbeiter der Bibliothek oder Onleihe ein Kundenpasswort für schädliche "Dinge" verwendet hat? Wo ist sowas denn schon vorgekommen, hast Du ein belegbares Beispiel für so einen Fall?

    Im IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik steht u.a. folgendes:


    ORP.1: Organisation / 2.8 Zerstörung, Vandalismus, Sabotage

    Personen können aus unterschiedlichen Beweggründen (Rache, Böswilligkeit, Frust) heraus versuchen, Geschäftsprozesse zu stören, Geräte oder Informationen zu manipulieren oder zu zerstören. Sowohl Außentäter [...] als auch Innentäter ( z. B. frustrierte oder psychisch labile Mitarbeiter) können durch Vandalismus fremdes Eigentum zerstören oder beschädigen. Während Vandalismus meist Ausdruck spontaner, blinder Zerstörungswut ist, bezeichnet Sabotage die mutwillige Manipulation oder Beschädigung von Sachen mit dem Ziel, dem Opfer Schaden zuzufügen. Beson­ders attraktive Ziele von Sabotage können Rechenzentren oder Kommunikationsanbindungen von Behörden bzw. Unternehmen sein, da hier mit relativ geringen Mitteln eine große Wirkung erzielt werden kann.


    INF.7: Büroarbeitsplatz / 2.7 Vandalismus

    Durch Vandalismus wird fremdes Eigentum zerstört oder beschädigt. Die Auswirkungen sind mit denen eines Anschlags sehr verwandt, nur dass Vandalismus nicht wie dieser gezielt geplant und umgesetzt wird, sondern meist Ausdruck spontaner, blinder Zerstörungswut ist. Sowohl Außentäter (enttäuschte Einbrecher) als auch Innentäter (frustrierte oder psychisch labile Mitarbeiter) kommen dafür in Betracht. Mögliche Auslöser für Vandalismus können unter anderem Meinungsverschiedenheiten, persönliche Probleme, Mobbing oder ein schlechtes Betriebsklima sein.


    Ich glaube nicht, dass sich das Bundesamt für Sicherheit in der Informationstechnik sowas aus den Fingern saugt. Hier wird die Möglichkeit von Vandalismus durch Mitarbeiter eindeutig in Betracht gezogen. Warum soll diese Gefahr allgemein für Behörden bzw. Unternehmen bestehen – aber nicht für Bibliotheken? Das wäre ja völlig unlogisch.


    Was ich gar nicht verstehe, sind diese Angiftungen die mich andauernd treffen, nur weil ich fordere, dass auch in Bibliotheken (und eventuell der Onleihe), endlich IT-Sicherheitsstandards eingeführt und beachtet werden, die überall sonst bereits weitgehend praktiziert werden. Selbst wenn ein möglicher Schaden nur geringfügige Auswirkungen hätte – was wäre denn so schlimm daran, dass User sicherere Passwörter als ein Geburtsdatum benutzen müssten? Wo wäre denn das Problem, wenn User ihr Passwort online ändern könnten – ohne Zwischenschaltung einer Bibliothekarin, die dann das Passwort kennt? Alles was gegen diese Forderungen bisher vorgebracht wurde ist ein "Et hätt noch immer jot jejange". Richtige Argumente gegen höhere IT-Sicherheit hat noch keiner meiner Kritiker hervorgebracht. Ich kann mir auch nicht vorstellen, dass es welche gibt.


    Was für ein Schaden angerichtet werden könnte, sollte vielleicht mal ein Bibliotheksangehöriger schildern, der die Verfahrensweisen und Möglichkeiten an seinem Arbeitsplatz kennt. Wenn die Daten durchgängig so schlecht gesichert sind wie die Passwörter, kann ich mir sehr gut vorstellen, dass Userdaten geleakt oder unbrauchbar gemacht werden könnten, gefakte Beiträge in diesem Forum lanciert werden könnten und einiges mehr. Vielleicht wird sowas nie geschehen. Aber besser wärs doch, wenn sowas nie geschehen könnte. Oder? Der Hack des Katalogs der Bibliothek des Jahres 2018 hat immerhin bewirkt, dass tausende User über voraussichtlich ein bis zwei Monate keine Katalog-Recherchen und Vorbestellungen mehr online vornehmen können. Und dass sie demnächst vielleicht noch mehr Spam und Phishing-Mails im Postfach vorfinden. Das war ein Schuss vor den Bug eine volle Breitseite, die leider gesessen hat.

  • Selbst wenn ein möglicher Schaden nur geringfügige Auswirkungen hätte – was wäre denn so schlimm daran, dass User sicherere Passwörter als ein Geburtsdatum benutzen müssten?

    Ach, Thomas.


    Mach doch mal eine Folgenabschätzung:

    • Wir hier sind die Minderheit der Büchereibenutzer. Die Meisten wollen nur online ihre physischen Medien verlängern.
    • Einmal Kennwort-Reset manuell kostet 10 Minuten Mitarbeiterzeit.
    • Erzeugung und Mitteilung von sicheren Kennwörtern kostet auch Zeit und Aufwand.

    Jetzt hast du die Wahl: Entweder investierst du die Mitarbeiterzeit oder du machst es so simpel, dass es bei vertretbarem potentiellen Schaden jeder hinbekommt.


    Und wenn du mir mit "Kennwort zurücksetzen per Mail kommst": Dafür müsste man die Mailadresse speichern (ich weiß, wird vielerorts auch gemacht). Da 90% der Personen, wenn sie sich ein Kennwort aussuchen müssen, ihr "Standardkennwort" nehmen, hätte ein Leak wie oben noch ganz andere Auswirkungen gehabt.


    Die, die ein anderes Kennwort haben wollen, können es sich ja auch selber setzen. Nur wenn man Personen dazu zwingt, sich ein Kennwort auszusuchen, wird es meisten Mist.



    Achja: Das Geburtsdatum zu nehmen empfinde ich auch als dumm. Da könnte man lieber jedem einfach auf die Rückseite des Bibliotheksausweises ein Kennwort drucken, welches sonst auf keinem (Ausleih)Bon oder so mehr auftaucht. Das wäre sicherer als die jetzige Lösung, denn ein Geburtsdatum befindet sich in jeder gefundenen Geldbörse, da gebe ich dir Recht. Würde so ein Datenbestand dann extern geöffnet werden, würde man dann wenigstens nicht versehentlich die Geburtsdaten aller offenlegen.