Skip to content

Heartbleed? Was geht mich das an?

Heartbleed Logo Sicherheitsguru Bruce Schneier bewertet den sogenannten Heartbleed-Bug auf einer Skala von 1 bis 10 mit 11. Nach all den Katastophenmeldungen in letzter Zeit fällt es schwer, sich zu irgendeiner Aktion aufzuraffen. Was geht mich das an?

Hier ein paar Links zum Thema:

Wenn ich das richtig verstanden habe, sollte Otto Normalinternetzbenutzer zuerst prüfen, ob die selbst genutzten Websites den Bug behoben haben (z. B. über eine Seite wie http://filippo.io/Heartbleed/) und wenn ja, anschließend sein Passwort ändern. Betroffen waren anscheinend flickr, web.de, yahoo, doodle, dropbox etc. pp. Eigentlich ALLE.

Außerdem sollte man prüfen, ob es für die Software eigener Geräte (PCs, Router, Smartphones!) Sicherheitsupdates gibt. Anscheinend sind Debian und Ubuntu-Linux, der Apache-Webserver und Android betroffen (nur das, was mir beim kurzen Querlesen ins Auge gesprungen ist!)

Wahrscheinlich werden viele Dienste demnächst ihre Nutzern zwangsweise neue Passwörter verordnen oder es dringend empfehlen, wie z. B. Doodle.

Für uberspace-Kunden gibt es eine FAQ zur OpenSSL-Lücke Heartbleed. Puh, da habe ich wohl Glück gehabt, dass mein Kram auf dem Server Helium liegt.

Netz-Blues

»Das Internet, so wie ich seit knapp 20 Jahren kannte, gibt es nicht mehr.«

Don Dahlmann hat es auf den Punkt gebracht.

Mich wundert ja immer noch, dass die Industrie nicht längst Sturm läuft. Angebote und Verträge, die lustig unverschlüsselt per E-Mail durchs Netz geschoben werden – ein Schlaraffenland für Wirtschaftsspionage: Man sieht die Preise der Mitbieter, man könnte das bessere Angebot der Konkurenz zum Stichtag im Spamfilter kleben bleiben lassen ... hach! Das Neuland der unbegrenzten Möglichkeiten!

Dazu tragen alle Ortungsgeräte (selbst bezahlt!) mit sich herum, zahlen mit Karten und füllen Wer-kennt-wen auch noch selber aus. Da wäre Orwell im Traum nicht drauf gekommen.

Sicherheit im Netz: Gedanken zu E-Mail

Wer Briefumschläge und Türschlösser verwendet, sollte sich auch Gedanken über seine elektronische Kommunikation machen.

Bei map steht gerade Wir haben versagt. Teils stimme ich ihm zu, teils nicht. Sicherheit kann man nicht wie eine App herunterladen, sie besteht aus verschiedenen »Zutaten«. Sie ist eine Art Philosophie, Einstellung, Haltung. Wichtig ist das Gesamtkonzept. Was nützt mir eine chinesische Mauer, wenn ich die Torwächer schlecht bezahle? Nur wenn ich die Gefahren kenne, kann ich sie beurteilen und entsprechende Maßnahmen ergreifen.

Schlapphut Deshalb versuche ich mich an einer kleinen Informationsreihe. Fangen wir mit E-Mail an. E-Mails sind wie Postkarten. Die können von den Postautofahrern, den Postsortierern und den Briefträgern gelesen werden. Genauso ist es bei E-Mail. Die Administratoren aller an der Zustellung beteiligten Rechner können die lesen, kopieren, speichern und verändern(!)

Das Internet ist deshalb so robust, weil sich E-Mails ihren Weg zum Empfänger mehr oder weniger selbst suchen. Als Anwender weiß man selten im Voraus, über welche Zwischenstationen das geht. Schaut mal bei dnstools.ch vorbei, dort kann man sich den Weg auf einer Karte anzeigen lassen.

So werden z. B. aktuell für eine Nachricht von Frankfurt aus an gmail.com 9 Zwischenstationen, sogenannte Hops, angezeigt. Also haben mindestens 9 Rechner-Administratoren Einblick. Die haben alle mindesten einen Vertreter (eher ein ganzes Team) - also eine Menge Leute, die die Mails lesen könnten aus Langeweile oder kommerziellem Interesse (Wirtschafts­spionage). Und die die Nachricht auch manipulieren könnten! Dazu kommen dann noch die jeweiligen Geheimdienste und was es so an staatlich verordneter Überwachung gibt.

Gruselig, oder? (Wobei eine Mail (oder Datei) nicht in einem Paket verschickt wird, sondern in vielen kleinen einzelnen Päckchen (Packets), die nicht unbedingt alle über die selben Knotenpunkte laufen. Das macht es für Mitleser ein bisschen schwieriger).

GnuPG Es gibt es eine Reihe von Maßnahmen, abhängig davon, welchen Vertraulichkeitsgrad bzw. welche Sicherheit ich erreichen will:

  • Provider des Vertrauens wählen: wer bei GMail, Hotmail und Co. ist kann mittlerweile sicher sein, dass die amerikanischen Freunde alles speichern. Meine Empfehlung: uberspace.de
  • Mails signieren: soll Manipulationen verhindern. Abhängig vom E-Mail-Programm, Provider. Meine Empfehlung: Thunderbird mit Erweiterung Enigmail. Dazu muss GnuPG installiert sein.
  • Mails verschlüsseln: laut Herrn Snowden soll die NSA PGP (bisher) nicht knacken können. Empfehlung wie oben Thunderbird, Enigmail, GnuPG.

All das kann wirkungslos sein, wenn der Angreifer Zugriff auf Deine Hardware hat. Da gibt es so lustige Dinge wie Keylogger, die man zwischen Tastatur und Rechner klemmt und die dann alle Tastenanschläge speichert. Oder wenn fehlerhafte (veraltete) Software genutzt wird.

Der Klassiker ist latürnich der Zettel mit den Passwörtern unterm Mauspad oder in der obersten Schreibtischschublade. Dafür gibt es Lösungen wie z. B. die Software Password Safe von Kryptografie- und Sicherheitsguru Bruce Schneier. Probiere ich gerade aus. Oder Anrufe im Stil von »Hier Schmidt von der IT, Sie haben einen Fehler im Mailsystem verursacht, deswegen brauche ich schnell Ihr Passwort.«

Sonst gilt: informiert bleiben. Entsprechende Blogs lesen (Schneier, netzpolitik.org, Danisch, Unmask Parasites). Software aktuell halten. Gesunden Menschenverstand ;-) nutzen.

Links:

Krieg verloren?

Maintaining privacy on the Internet is nearly impossible. [...] If the director of the CIA can't maintain his privacy on the Internet, we've got no hope. [...]
So, we're done. [...]
Bruce Schneier on CNN: »The Internet is a surveillance state«

In einem Beitrag für CNN äußerte Sicherheitsfachmann Bruce Schneier die Meinung, dass der Krieg – ohne dass nennenswerte Schlachten geschlagen wurden – verloren sei.

Die Freiheit (?) nehm ich mir

Was habe ich mich darüber schon aufgeregt. Bei Problemen mit »Verified by Visa « die Spaßkassenhotline angerufen, zur Kreditkartenhotline verwiesen worden – und wieder zurück. Aufgegeben und mit einem eigens eingerichteten PayPal-Account bezahlt.

Irgendwann hat es dann seltsamerweise doch funktioniert und ich war zufrieden. Bis ich Jan Schejbals Artikel Verified by Visa - Unsicherheit mit System gelesen habe. Seitdem will ich nur noch bar zahlen. Oder vielleicht kommen wir wieder auf den Tauschhandel zurück?