Nutzerdaten der Frankfurter Stadtbücherei gehackt – ein offenbar unterschätztes Sicherheitsrisiko

Zitat von spitzefeder

Du weißt erstens nicht, ob derjenige, der sein Geburtsdatum sichtbar macht, sein Geburtsdatum auch als Passwort hat.

Ich nehms einfach mal an. Mich würds jedenfalls überhaupt nicht wundern.

Zitat von spitzefeder

Zweitens bleibt es jedem frei, was auch immer preiszugeben.

Natürlich, wie ich schon ausführte darf sich jede die PIN ihrer Giro-Card auf die Stirn tätowieren lassen. Wir leben in einem freien Land!

Zitat von spitzefeder

Drittens kennst du vielleicht ein Passwort, aber nicht die Ausweisnummer. Außerdem sind Userforum und Onleihe zwei voneinander unabhängige Dinge.

Nach dieser Logik bräuchte man weder Passwörter noch PINs. Da würde die Kontonummer oder ID völlig ausreichen. Komisch, dass es dennoch Passwörter und PINs gibt. Wozu eigentlich?

Zitat von spitzefeder

Diese Besserwisserei und Überheblichkeit nerven langsam.

Diese Naivität mit der jede Leichtsinnigkeit mit wildem Eifer verteidigt wird, nervt mich bereits die ganze Zeit. Dass Du hier echte Gefahren herunterspielst scheint Dir gar nicht bewusst? Ich finde es auch ein wenig verantwortungslos, wenn hier die Angabe einer so persönlichen Sache wie des Geburtsdatums angeboten wird, erst recht, wenn es im gleichen Umfeld generell als Passwort dient.

Ich rege mal an, dass der Divibib-Support sich mal darum kümmert, dass keine Geburtsdaten angezeigt werden – wenigstens so lange nicht, wie sie auch als Passwörter fungieren.

Dass hier Praktiken verbreitet sind, die den Leichtsinn der Nutzer befördern, sowie Datenschutz und -sicherheit gefährden ist eine schlechte Nachricht. Aber ich bin nur der Bote, der Überbringer! Warum werde ich dafür beschimpft und mit Vorwürfen überschüttet? Ich habe diese Sicherheitslücken nicht zu verantworten. Ich warne nur davor und bitte, sie zu beseitigen. Was wäre denn so schlimm daran, wenn Bibliotheken und Onleihe sicherer wären? Selbst wenn (außer dem Hack bei der Stadtbücherei Frankfurt) noch nichts schlimmes passiert ist? (Der führte ja nur dazu, dass der Katalog für 2 Monate nicht online genutzt werden kann und ungünstigstenfalls eine kleine SPAM-Lawine auf die Nutzer zurollen wird – also halb so wild!)

Zitat von tosch350

Und, was wäre denn, wenn ich hier mein Geburtsdatum veröffentlichen würde?

Dann wüsste immer noch niemand meine Benutzernummer und wahrscheinlich nicht einmal meine Heimatbücherei, falls ich die hier nicht irgendwann mal geschrieben habe.

Und selbst wenn das jemand alles herausfinden würde, wäre es kein Weltuntergang, wenn derjenige ein eBook mit meinen Daten ausleihen könnte.

Da kann man echt mal die Kirche im Dorf lassen. Es geht ja nicht darum, dass jemand Bankkonten leerräumen könnte.

Und wenn hier keine Geburtsdaten veröffentlicht würden, jeder Nutzer ein gescheites Passwort nutzen müsste, unsere Daten bei Onleihe und Bibliotheken etwas sicherer aufgehoben wären als zur Zeit – was wäre daran so schlimm?

Zitat von Hundehuette

Habt Ihr keine wichtigeren Probleme?

Doch:

• den Weltfrieden
• die Erreichung der Klimaziele
• die Abwehr von Asteroiden, die drohen auf der Erde einzuschlagen
• die Überfischung der Ozeane
• die Bevölkerungsexplosion
  

Zitat von Ingo

Alle sachlichen Argumente scheinen mir ausgetauscht zu sein. Können wir es bitte dabei belassen?

Im Sinne des genannten Weltfriedens bitte ich deshalb um ein Ende vor allem der gegenseitigen Angriffe. Ansonsten müssen wir den Thread schließen.

Ja Ingo, schließt den Thread. Es kommt sowieso nichts substanzielles mehr.

Zusammenfassung

Auch wenn bisher nicht viel schlimmes passiert ist und der Schaden noch überschaubar ist – bitte ich ...

• den Divibib-Support: Mindestens so lange keine Geburtstagsdaten der Forumsteilnehmer anzuzeigen, wie diese auch als Passwort genutzt werden
• die Bibliotheken: von ihren Nutzern nicht das Geburtsdatum als Passwort zu verlangen, sondern möglichst sichere Passwörter
• die Möglichkeit vorzusehen, Passwörter auch online – ohne Mitwisserschaft von Bibliothekarinnen – ändern zu können
• von der Stadtbücherei Frankfurt: ihren Nutzern zu empfehlen, möglichst bald deren kompromittierte Passwörter zu ändern
• alle Nutzer von Bibliotheken und Onleihe: Selbst ihr Passwort zu ändern, falls bisher noch das Geburtsdatum als solches genutzt wurde
• Divibib und Bibliotheken: ihre Nutzer mit Empfehlungen, Rat und Tat dabei zu unterstützen, die Angebote möglichst sicher zu nutzen
• Divibib und Bibliotheken: ihre Anwendungen selbst einmal auf Schwachstellen zu untersuchen und Verbesserungen herbeizuführen

Es ist klar, dass auch die Einhaltung aller empfohlenen Maßnahmen keinen hundertprozentigen Schutz vor Hacks, Datenvandalismus usw. bietet – man muss es entsprechenden Angreifern aber auch nicht leicht machen. Bisher ist meines Wissens noch kein allzu großer Schaden aufgetreten (knapp 2 Monate kein Online-Zugriff auf den Katalog der Stadtbibliothek Frankfurt). Wir wissen aber nicht, was Hacker alles mit unseren Daten anfangen können, erst recht, wenn sie sie mit anderweitig erbeutetem Material zusammenführen oder abgleichen. Je weniger wir von uns im Internet preisgeben, desto sicherer bewegen wir uns dort.

Zitat von spitzefeder

Einiges verstehe ich, anderes nicht. Meines Wissens ist das Userforum technisch unabhängig von der Bibliotheks-Onleihe. Was hat das im Forum angezeigte Geburtsdatum mit der Onleihe zu tun?

Das Bibliotheks-PW kann man, je nach Bibliothek, online ändern, solange die Bibliothek online ist. Möchtest du eine Möglichkeit, das PW von der Onleihe aus zu ändern?

Ich wollte ja eigentlich hier abschließen. Aber wenn es sich um eine Verständnisfrage handelt, mache ich eine Ausnahme.

• Das Passwort für die Onleihe liegt (genau wie die Benutzernummer – siehe Leseausweis) auf einem Server der Heimatbibliothek. Meistens scheint es sich dabei um das Geburtsdatum des Nutzers zu handeln, kann aber (in manchen Bibliotheken auch online?) geändert werden.
• Das Passwort für dieses Userforum ist davon unabhängig.
• Mit seinem Geburtstag im Userforum offenbart ein Nutzer i.d.R. allerdings sein Bibliothekspasswort, mit dem er sich zwar nicht in diesem Forum – aber in die Onleihe einloggt.

(Ich hoffe, ich hab' das richtig zusammengestellt – man korrigiere mich, wenn sich da was anders verhalten sollte)

Davon abgesehen fände ich es nicht verkehrt, wenn auch mindestens die Möglichkeit bestünde, für die Onleihe ein anderes Passwort zu verwenden, als für den Online-Zugang zum Bibliothekskatalog. Dann könnten nämlich die Nutzer aus der Stadtbibliothek Frankfurt ihre kompromittierten Passwörter online ändern, was zur Zeit leider nicht möglich ist.

Als ich meinen Leseausweis bei der Stadtbücherei Frankfurt bekam, wurde ich nicht darauf aufmerksam gemacht, dass ich das initiale Passwort (= Geburtstag) ändern könne. Ich habe auch einmal nach einer Funktion gesucht, dies online zu machen – wurde aber nicht fündig. Also gab es diese Möglichkeit nicht, oder sie war sehr gut versteckt oder ich war zu dusselig, sie zu finden. Zur Zeit ist die Stadtbücherei Frankfurt sowieso nicht online erreichbar und das Ändern eines Passwortes geht zwar, aber nur, in dem man die Bibliothek aufsucht und sich dort von der Bibliothekarin ein neues geben lässt oder ihr ein neues zum Eingeben mitteilt. Ich hoffe, dass sich das bis Mitte Januar ändert und erwarte, dass dann ein sichereres System als bisher für die Nutzer von Katalog und Onleihe verfügbar ist. Ich bin sogar gedämpft optimistisch, denn sobald mal was vorgefallen ist ändert sich oft vieles, was vorher als unnötig abgetan wurde (wie zum Beispiel genügend Rettungsboote auf Passagierschiffen, nachdem die "unsinkbare" Titanic unterging und 1514 Menschen ertranken [okay, bei der Onleihe ist bisher noch niemand ertrunken und selbst ich erwarte nicht, dass das jemals geschieht]).

Zitat von Kakaokau

Das Passwort kann bei den meisten Bibliotheken online geändert werden. Ich persönlich kenne keine Ausnahme, kann mich aber dunkel erinnern, daß vor längerer Zeit mal im userforum die Rede davon war, daß es anscheinend tatsächlich solche Ausnahmen gibt.

Das Standardpasswort kann das Geburtsdatum sein, muss aber nicht. Hier gibt es je nach verwendeter Bibliothekssoftware unterschiedliche Einstellungen.

Durchaus möglich, dass ich wegen der Änderung des Passwortes an der falschen Stelle gesucht hatte. Ich habe lange Zeit ausschließlich die Onleihe genutzt. Vielleicht kam ich deshalb damals gar nicht auf die Idee unter https://www.katalog.stadtbuecherei.frankfurt.de/ nachzusehen. Ich könnt's heute nicht mehr beschwören. Jedenfalls wurde ich nie auf die Möglichkeit der Änderung eines Passwortes aufmerksam gemacht und wo man das tun kann. Und von selber hatte ich ja nicht das Wissen, wie Katalog und Onleihe zusammenhängen oder getrennt sind. Das hat mich ja früher auch überhaupt nicht interessiert.

Ich hab' mich zwar gewundert, dass der Geburtstag das Passwort ist, aber leider hab' ich das damals einfach hingenommen. Und ich bin ziemlich sicher, dass die meisten Nutzer sich in etwa genauso angestellt haben, wie ich einstmal. Aber heute finde ich das nicht richtig. Die Bibliotheken sollten ihre Nutzer dazu anhalten, ein gescheites Passwort zu wählen und ihnen mitteilen, wie das geht. Und die Nutzer sollten das dann aber auch tun.

Zitat von Kakaokau

Das Passwort kann bei den meisten Bibliotheken online geändert werden. Ich persönlich kenne keine Ausnahme, kann mich aber dunkel erinnern, daß vor längerer Zeit mal im userforum die Rede davon war, daß es anscheinend tatsächlich solche Ausnahmen gibt.

Vielleicht hier?:

Zitat von divibib-support

Hallo zusammen,

[...]

Es kommt hinzu, dass weiterhin bei vielen Bibliotheken das Passwort per Grundeinstellung recht simpel ist und die wenigsten Nutzer dies ändern oder nicht ändern können, weil nicht bei jedem OPAC eine Änderung des Passwortes möglich ist. Diese extreme Eingrenzung auf einen "Nummernkreis" ist in sich schon nicht sonderlich sensibel.

Auf der anderen Seite kann ich mir gut vorstellen, dass eine Passwort-Vorgabe mit Sonderzeichen, Groß-/Kleinbuchstaben und Zahlen, sowie mindestens 8 Zeichen nicht zu Begeisterungsstürmen bei den meisten Nutzern führen wird.
Denn eine "gesicherte oder verschlüsselte Verbindung ist kein Garant für Sicherheit, wenn dann doch wieder einfache Passwörter verwendet werden. Hier sind die Softwarehäuser und die Bibliotheken gefragt und das Thema kann schlussendlich auch nur in diesem Dreieck gelöst werden.

Freundliche Grüße
divibib-Support

Alles anzeigen

(Hervorhebungen von mir)

Ich hab' das nach Kakaokaus Beitrag mal ein bisschen recherchiert: Immer wieder beschwerten sich Nutzer hier im Forum, dass sie sehr lange nach der Stelle suchen mussten, wo sie ihr Passwort ändern können, bzw. fragten viele, wo das geht, oder gehen offenbar von vornherein davon aus, dass dies gar nicht möglich ist. Also selbst wenn diese Möglichkeit bei den meisten Bibliotheken vorhanden sein sollte, besteht doch zumindest ein Informationsbedarf, der zur Zeit nicht gestillt wird. Hier muss sich ganz bestimmt was tun und das dürfte in den Fällen, wo eine Online-Passwortänderung bereits möglich ist auch gar nicht schwierig sein. Also liebe Bibliotheken, tut was und weist eure Leser darauf hin, wie sie ihr Passwort ändern können!

Ob die Stadtbücherei Frankfurt zu den Schlampis gehörte, wo man sein Passwort nicht online ändern konnte, kann ich nicht mit Sicherheit sagen. Vielleicht gehöre ich ja auch zu den vielen Deppen, die die Stelle im Katalog einfach nur nicht nicht gefunden haben. Das lässt sich jetzt auch nicht mehr nachprüfen, da der Katalog bis voraussichtlich Mitte Januar offline ist. Und danach hoffentlich ein System da steht, das – was die Datensicherheit angeht – keine Wünsche mehr offenlässt, weil man nach dem Hack endlich was gelernt hat (hoffentlich). Allerdings kann, bis es soweit ist, eine Passwort-Änderung nur am Schalter der Stadtbücherei vorgenommen werden. Und das finde ich völlig unbefriedigend, weil kaum damit zu rechnen ist, dass sich in Kürze etwa 90.000 Onleihe-Nutzer auf den Weg zur Stadtbücherei machen werden, um ihr Passwort möglichst zeitnah ändern zu lassen. Ganz davon abgesehen, dass die Stadtbücherei einen derartigen Andrang gar nicht bewältigen könnte. Und so gibt es jetzt einen Haufen kompromittierter Passwörter auf den Servern der Bibliothek, mit denen möglicherweise auch die Hacker auf die Onleihe zugreifen oder sonstigen Unfug anstellen können.

Zitat von Kakaokau

Wenn mir ein sicheres Passwort so wichtig wäre und ich nicht wüsste, ob und wo ich es ändern kann, würde ich bei meiner Bibliothek nachfragen. So viel Einsatz sollte von (ein)gebildeten Bürgern möglich sein.

Ja, hast ja recht. Ich hab' halt auch gedacht, das geht nicht, mich gewundert und den Gedanken wieder beiseite geschoben. Ich hatte mir auch schon früher mal überlegt, das hier anzusprechen. Aber der Verlauf der http/https-Debatte hatte mich dann ziemlich abgeschreckt. Und so hab' ich's erstmal gelassen. Du siehst ja selber, wie hier auf jede Kritik an Bibliothkeken oder Divibib reagiert wird. Na immerhin konnte ich feststellen, dass die Divibib am Passwortproblem die geringste Schuld trägt und schon vor fast zwei Jahren in diesem Forum das Problem sah und ansprach.

(ein*gebildeten Bürgern!)

Zitat von ssb_gun

wer heutzutage in Internet mehr Daten von sich preis gibt, als unbedingt erforderlich ist, ist selber schuld.

pasted-from-clipboard.png

???

Nein, ich finde, man sollte die Leute nicht dazu verleiten, sich aus Unbedachtheit selbst zu gefährden. Das Geburtsdatum muss raus! Oder zumindest eine gut sichtbare Warnung rein, dass man damit ein sehr persönliches Datum und u.U. sogar sein Passwort preisgibt.