Nutzerdaten der Frankfurter Stadtbücherei gehackt – ein offenbar unterschätztes Sicherheitsrisiko

onleihe:hilfe
Aktuelle Meldungen finden Sie stets auf der :hilfeseite für die Onleihe.

    Ach, eingemaischt,


    - Da sich vieles automatisieren lässt, dürfte sich der personelle Mehraufwand einer hinreichend sicheren IT-Umgebung in Grenzen halten

    - Die Mailadresse wird bereits gespeichert – das wäre also kein zusätzlicher Aufwand

    - Ein Kennwort selbst setzen ist z.Z. (zumindest in der Bibliothek des Jahres 2018) nur eingeschränkt und unter Mitwisserschaft einer Bibliothekarin möglich

    - Das Kennwort auf die Rückseite des Bibliotheksausweises zu drucken wäre m.E. so clever, wie die PIN auf die Giro-Karte zu schreiben


    Ich glaube, dass wir all das eigentlich gar nicht diskutieren müssten. Nenne mir ein einziges Soziales Netzwerk, einen einzigen Händler oder Dienstleister, der als Kennwort das Geburtsdatum verlangt oder wo Du in eine Filiale latschen musst und einem Mitarbeiter ein zu änderndes Passwort nennen musst! Es gibt keinen. Außer der Bibliothek des Jahres 2018 und einige andere Büchereien.

    Ich glaube, dich hat man bereits oben darauf hingewiesen, dass es auch in der Bibliothek möglich sei, dass Kennwort online über das Opac zu ändern, was nur aktuell offline sei, aber bald wieder verfügbar sei.


    Und das mit der PIN auf der ec-Karte: Nunja, bei einer Kreditkarte wird das genau so gemacht: Die dreistelle CCV auf der Rückseite, die hast du sicher schon einmal gesehen. Da wird das Risiko einfach über eine Gegenrechnung abgesichert. 1% des Umsatzes als Gebühr, so lange nicht mehr als jede 100ste Transaktion Betrug ist macht man Gewinn.


    Außerdem ist hier das Missbrauchspotential nahe Null. Was willst du bitte mit einem geöffneten Account machen? Die geliehenen Bücher gegen den Willen des Nutzers verlängern? 10 ePubs ausleihen? Ja, wahnsinn.

    Zitat von eingemaischt

    Das Geburtsdatum zu nehmen empfinde ich auch als dumm.

    Nun, vielleicht gar nicht mal so dumm. Mein Geburtsdatum kennt im Zweifel doch eh jeder - an allen möglichen und unmöglichen Stellen, Behörden, Ämtern, Institutionen und Firmen ist dies bekannt und von den jeweiligen Bearbeitern zugreifbar. Sogar sämtliche Postangestellten und Kfz-Mechaniker kennen es mittlerweile, da ich ja von (fast) allen Internet-Shops, sogar meiner Kfz-Werkstatt, usw. mindestens genau einmal im Jahr eine Postkarte mit den besten Glückwünschen zu meinem ebenfalls aufgedruckten Geburtstag bekomme.


    Da ist dann sogar mein Geburtsdatum mit meinem Namen, Adresse, Automarke, und was weiß ich noch alles, verknüpft. Im Fall der Onleihe bin ich dankbar, daß mit meinem Geburtsdatum lediglich eine, nicht weiter im Geschäfts(daten)verkehr genutzte, Bibliotheks-Ausweisnummer und sonst nichts weiter offensichtliche verknüpft wird. Damit haben wir hier also sogar eine Maßnahme, die meine Daten schützt und so wenig wie möglich kompromittiert.


    Danke für dieses System, Bibliothek und Onleihe! :love:

    Zitat von ThomasK

    Im IT-Grundschutz-Kompendium des Bundesamtes für Sicherheit in der Informationstechnik steht u.a. folgendes:

    Ich bezog mich mit meiner Frage auf persönlich von Dir erlittene Schäden oder explizite Nachteile durch die von Dir bemängelten Sicherheitsprobleme bei den Bibliotheken oder der Onleihe - wo wurde mit Deinen Daten bei diesen Stellen schon Schindluder getrieben? Mit solchen allgemeinen Literaturverweisen und Erörterungen in der (Fach-)Presse kann ich Dich auch zuschmeißen!


    Und morgen fällt Dir ein Meteorit oder eine abgestürzte Raumstation auf die Birne und Du bist platt. Ist genau so real und nicht unwahrscheinlich. Deswegen trage ich aber noch keinen Aluhut als Schutz vor Spionage.

    Zitat von PeterSch

    Nun, vielleicht gar nicht mal so dumm. Mein Geburtsdatum kennt im Zweifel doch eh jeder

    Das Problem ist, dass das Geburtsdatum halt Rückschlüsse auf die Person zulässt und nach DSGVO ein personenbezogenes Merkmal ist.


    Außerdem hast du nur 31*12*80 = 30.000 verschiedene Kombinationen. Das entspricht gerade einmal einem konventionellen Kennwort von 2 Stellen - dementsprechend schnell ist es auch zurück gerechnet, wenn so eine Kennworttabelle (selbst gehasht) veröffentlich wird.


    Worauf ich hinaus will: Auch wenn der Schaden bei der Bücherei gering ist - mit den Daten kann man prima auf anderen Webseiten Unfug treiben.

    Zitat von eingemaischt


    Außerdem hast du nur 31*12*80 = 30.000 verschiedene Kombinationen. Das entspricht gerade einmal einem konventionellen Kennwort von 2 Stellen - dementsprechend schnell ist es auch zurück gerechnet, wenn so eine Kennworttabelle (selbst gehasht) veröffentlich wird.


    Worauf ich hinaus will: Auch wenn der Schaden bei der Bücherei gering ist - mit den Daten kann man prima auf anderen Webseiten Unfug treiben.

    Naja, aber neben dem Geburtsdatum müßte dann ja auch die Bibliotheksausweisnummer durchpermutiert werden oder bekannt sein. Wenn nicht, gibt's dann schon wieder eine deutlich größere Menge an Möglichkeiten. Aber egal, ob 30.000 oder 30.000.000 oder 30.000.000.000 Möglichkeiten, ein moderner Rechner hat sowas in Sekunden bis Minuten durch, zumindest bei dem hier diskutierten Problemkreis. Schau mal, was so Bitcoin-Surfmaschinen alles in einer Sekunde durchprobieren, und das fast mit Haushaltstechnik und einer guten Grafikkarte.


    Und ich denke, daß nirgendwo anders das Geburtsdatum zwangsweise als Paßwort verwendet wird, ohne ebenso den Zwang, dies beim ersten Login zu ändern. Es sei denn, jemand setzt sich selbst solch ein Paßwort, damit er sich das besser merken kann...


    Und was willst Du alleine mit einem Geburtsdatum auf anderen Webseiten anstellen, es sei denn Du hast weitere Daten damit verknüpft?

    Zitat von PeterSch

    Und was willst Du alleine mit einem Geburtsdatum auf anderen Webseiten anstellen, es sei denn Du hast weitere Daten damit verknüpft?

    Name + Geburtsdatum reicht oftmals, um sich gegenüber Banken und co telefonisch zu verifizieren. Das ist auch genau die Kombination, die die Schufa speichert, um Personen auseinander zu halten (im Web findet ihr genug Beispiele von Personen mit gleichem Namen und Geburtsdatum, die damit Probleme bekommen).


    Auch bei vielen Behörden werden so Akten abgelegt - oder bei Anrufen der Anrufende authorisiert.


    Die Büchereinummer ist fortlaufend.

    Zitat von PeterSch

    Ich bezog mich mit meiner Frage auf persönlich von Dir erlittene Schäden oder explizite Nachteile durch die von Dir bemängelten Sicherheitsprobleme bei den Bibliotheken oder der Onleihe - wo wurde mit Deinen Daten bei diesen Stellen schon Schindluder getrieben? Mit solchen allgemeinen Literaturverweisen und Erörterungen in der (Fach-)Presse kann ich Dich auch zuschmeißen!


    Und morgen fällt Dir ein Meteorit oder eine abgestürzte Raumstation auf die Birne und Du bist platt. Ist genau so real und nicht unwahrscheinlich. Deswegen trage ich aber noch keinen Aluhut als Schutz vor Spionage.

    Also darf ich Datensicherheit nur einfordern, wenn ich schon mal Opfer eines Hacks wurde? Das ist ungefähr so als dürfte ich nur dann eine Wohnungstür mit Schloss vom Vermieter verlangen, wenn schon mal bei mir eingebrochen wurde – Das ist doch jetzt wirklich lächerlich!


    Aber bitte: Vor dem Adobe-Hack im Oktober 2013 bekam ich null Spam oder Phishing-Emails. Danach und bis heute beinahe täglich welche. Wegen des Hacks in der Bibliothek des Jahres 2018 werde ich mindestens einen Monat lang keine Medien vorbestellen oder nach welchen im Katalog recherchieren können, ohne zur Bücherei zu latschen. Okay, es gibt schlimmeres. Aber auch das müsste nicht sein. Und man sollte m.E. nicht warten bis ein wirklicher GAU eintritt, sondern die Systeme gleich so sicher machen, wie es nach heutigem Stand üblich und möglich ist.


    Hab' ich schon mal erwähnt, dass "Et hätt noch immer jot jejange" kein IT-Sicherheitskonzept, sondern Fahrlässigkeit ist?

    Zitat von ThomasK

    Aber bitte: Vor dem Adobe-Hack im Oktober 2013 bekam ich null Spam oder Phishing-Emails. Danach und bis heute beinahe täglich welche.

    Entschuldige, verwendest du die Adresse nur für Adobe?


    Ansonsten kann ich dir sagen: In 5 Jahren hätten Spammer die Adresse auch so entdeckt.

    Zitat von eingemaischt

    Ansonsten kann ich dir sagen: In 5 Jahren hätten Spammer die Adresse auch so entdeckt.

    Vermutlich ja. Aber es war schon sehr auffällig, dass ich vorher nie und dann ganz urplötzlich sehr kurze Zeit nach dem Adobe-Hack – quasi von einem Tag zum andern – regelrecht zugespamt wurde. Mittlerweile gehts wieder einigermaßen, wahrscheinlich weil der Provider sehr viel Spam abfängt bevor er im Eingangsfach landet (allerdings manchmal zu gut, wenn E-Mails gelegentlich im Spam-Ordner landen).

    Zitat von eingemaischt

    Entschuldige, verwendest du die Adresse nur für Adobe?


    Ansonsten kann ich dir sagen: In 5 Jahren hätten Spammer die Adresse auch so entdeckt.

    Ich z.B. verwende, wo es nur geht, Einmal- oder Wegwerf-Email-Adressen. Manche von denen eignen sich auch länger als etwa 60 Minuten zum Mail-Empfang oder -Senden, für Authentifizierungsbelange und den allerorten notwendigen Registrierungen für Mumpitz. Da können die Spammer spammen, wie sie wollen oder versuchen, die irgendwo abgefischte oder ausprobierte Email-Adresse für was auch immer zu mißbrauchen.


    Auch hier im Forum bin ich mit einer Wegwerf-Email-Adresse registriert, die, sollte sie mißbraucht werden, einfach gelöscht wird. Dann gehen Spam-Mails in die große Bitkiste.Den Account hier kann ich ja trotzdem weiter benutzen.


    Auch meine Adobe-ID habe ich mit einer Wegwerf-Email-Adresse verknüpft. Der Adobe-Hack war mir somit egal. Auch eine Adobe-ID ist in Sekunden wieder neu eingerichtet und mit einer weiteren Wegwerf-Emailadresse verknüpft - also kein Problem. Kaufprodukte sind mit so einer ID nicht verknüpft, die würden dann ja wertlos werden. Solche Beispiele kann ich noch dutzendfach liefern.


    Meine "richtige" Email-Adresse verwende ich nur sehr selten, wenn's geht immer über Mail-Weiterleitungen von zweitrangigen Email-Adressen, die ich nach Belieben ändern kann. Selbst an Bekannte, Freunde, Arbeitskollegen, Nachbarn gebe ich niemals meine richtige Email-Adresse heraus. Wenn bei denen elektronisch "eingebrochen" wird, ist meine gegebene Email-Adresse bei denen im Adreßbuch gleich mit verbrannt. Und deren sorgsamen Umgang mit Sicherheit, AV- und Firewall-Schutz sowie dem Widerstehen von Klicki-Bunti-Installationen von verführerischen Programmen oder Apps, die dann letztendlich nur deren Adreßbücher kapern, mißbrauchen und mir dann Spam oder schlimmeres bescheren oder mir von vermeintlichen Bekannten Emails mit Trojanern usw. zusenden, kann ich nicht einschätzen und im Zweifelsfalle sind das immer Einfallsvektoren, die ich nicht unter Kontrolle habe.


    Und das sind nur ein paar einfache, leicht durchzuführende Verhaltensregeln, die mir schon 99% Schmutz vom Halse halten können. So etwas kann jeder machen und solche Tipps und Tricks lassen sich auch zu Hauf im Internet finden. Die Leichtfertigkeit, die die meisten Leute an den Tag legen, überrascht mich immer wieder, aber ich habe es aufgegeben, zu versuchen, in den Leuten ein Bewußtsein dafür zu wecken.


    Diese und weitere probate Verhaltensregeln kann jeder erstmal selber in eigener Verantwortlichkeit anwenden und durchführen, bevor danach gerufen wird, irgendwelche Systeme so sicher zu machen, daß die eigenen Unzulänglichkeiten keine schädlichen Auswirkungen auf einen selber haben!

    5 Mal editiert, zuletzt von PeterSch () aus folgendem Grund: Tippfehler korrigiert, Ergänzung angefügt.

    Naja, zum Hack bei Adobe: Danach gab's die Adresslisten ja im Netz zum download...


    Zu den Wegwerfadressen: Richtest du dir eigene Aliase ein oder nimmst du das Sendmail-+ bzw. den gmail-. ?


    (Für alle nicht Mailadmins: Bei Google-Mail-Adressen kann man beliebig Punkte in den User-Teil der Mailadresse einstreuen, die langen alle bei der gleichen Inbox. Bei einigen Mailanbietern kann man die Mailadresse mit + verlängern - aus name@mail.de wird dann name+adobe@mail.de u.s.w. - die Mails kamen an.)


    P.S: Ist eigentlich auch egal, wir werden wohl zu sehr Off-Topic.

    Zu den Wegwerfadressen: Sowohl als auch (alle Möglichkeiten). Der Trichter ist am Ende meine eigene Domain, die alle Mails sammelt und dann letztendlich an mich weiter leitet, die aber niemals selbst in Erscheinung tritt oder irgendwo angegeben wird. Der Endpunkt ist dann mein Linux-Server, bei dem ich selber alle Möglichkeiten habe, mit Postfix und SpamAssassin und ähnlichem weiter zu sortieren.


    Manche Institutionen, Firmen oder Services, die eine Registrierung per Email-Adresse verlangen, aber eine Wegwerf-Emailadressen erkennen und verbieten, müssen dann z.B. über Google-Mail mit der Punkt-Erweiterung kanalisiert werden, damit eine unverfängliche Adresse verwendet werden kann. Die Geschichte mit dem Plus ist sehr elegant einzurichten und damit kann man schön alle möglichen Kanäle auseinander halten und dann trotzdem zusammen sammeln. Alles zusammen eingesetzt, je nach den einzelnen Erfordernissen, hält mir den Dreck der Welt auf Abstand.


    Aber das ist müßig hier zu erörtern. Alle relevanten Informationen und Beschreibungen hierzu sind offen im Internet erhältlich, ebenso Anleitungen, sowas einzusetzen. Wer suchet, der findet. Ich habe nur vielleicht den Vorteil, nach über 30 Jahren Tätigkeit in der IT-Welt sowas etwas besser einordnen und umsetzen zu können. 8)

    Was hier eben geschrieben wurde, von Wegwerfadressen und Mailweiterleitungen...


    Von alledem verstehe ich nichts, aber das ist mein eigenes Problem.


    Ich habe meine E-Mail-Adresse seit 1993, die eine einzige und bekomme trotzdem kaum Spammails.


    Vielleicht bin ich wirklich so blauäugig, wie man mir hier vorwirft, aber ich habe eher Angst vor anderen Bedrohungen, das eingebrochen wird

    oder plötzlich ein Amokläufer die Waffe zieht.


    Es gibt im Leben halt keine Garantien, 100 % Sicherheit zu erwarten ist Utopie.


    In diesem Sinne, allen eine frohe Weihnachtszeit.