Sie reden vom Netz wie Blinde vom Licht

Letztes

Und hier die Sendezeiten für die Downloads…

via Rosa Elefant | Ach ja, platsch!

Offener Brief an Justizminister Heiko Maas

Dass jetzt zum wiederholten Mal innerhalb weniger Monate millionenfach Nutzerdaten abgefischt werden, zeigt, wie wichtig das Thema der Datensicherheit ist [...] Ein Anbieter, bei dem die Kundendaten unsicher sind, wird auch bei den Verbrauchern kein Vertrauen finden

Heiko Maas, SPD, Bundesminister für Justiz und Verbraucherschutz
Zitiert nach Heise Online — Gigantischer Datenklau: Maas appelliert an Anbieter digitaler Dienste

Offener Brief anstelle eines Kommentares
Hinweis für Allergiker: Dieser Brief kann Spuren von Galle enthalten

Sehr geehrter Herr Maas,

es scheint mir, als gäbe es da eine “Kleinigkeit”, die sie vor lauter presseerklären und vorgefertigte Stellungnahmen zu aktuellen Vorfällen abgeben vollständig vergessen haben: Sie sind Abgeordneter des Deutschen Bundestages. Sie sind sogar Mitglied der gegenwärtigen Bundesregierung, und zwar im Ressort Justiz. Sie sind Gesetzgeber.

Deshalb ist es so einfach, zu erkennen, an welchen Sachen ihnen wirklich etwas liegt, und wo sie mutmaßlich einfach nur opportunistisch die Gelegenheit nutzen, sich vor den Kameras und Mikrofonen von Presse und Glotze ins rechte Licht zu rücken. Wenn ihnen an einer Sache wirklich etwas läge, würden sie sich nämlich nicht darauf beschränken, auf irgendein recht wirkungsloses “Verbrauchergedächtnis” zu bauen, sondern darauf besinnen, welche Möglichkeiten ihnen, Herr Justizminister, als mit passendem Ministeramt ausgestatteter Mit-Gesetzgeber zur Verfügung stehen. Sie würden juristisch geschulte Mitarbeiter in ihrem Ministerium, Herr Justizminister, damit beauftragen, Gesetzesentwürfe zu formulieren, die mutwillige und fahrlässige “Veröffentlichungen” von personenbezogenen Daten gesetzlich sanktionieren, statt irgendwelche wohlklingenden Unverbindlichkeiten zu verlautbaren.

Im Moment ist es nämlich aus der Sicht eines Unternehmers in der Bundesrepublik Deutschland so, dass wirksamer und verantwortungsvoller Datenschutz permanente Kosten verursacht, während ein Verzicht auf einen wirksamen und verantwortungsvollen Datenschutz diese Kosten einspart, ohne dass es durch diese Einsparung zu Profiteinbrüchen oder Kostenrisiken kommt. Welche Entscheidung ein Unternehmer in dieser Situation treffen wird, ist auch für intellektuell minderbegabte Menschen leicht durchschaubar, und diese Entscheidung ist — nicht ethisch, sondern wirtschaftlich betrachtet — völlig nachvollziehbar. Und genau so, wie es auf diesem Hintergrund zu erwarten wäre, sieht es dann auch beim Schutz der Datensammlungen wirtschaftlicher Unternehmungen aus, zur großen Freude der organisierten Internet-Kriminalität und zum Schaden aller anderen Menschen.

An ihnen, Herr Maas, liegt es, diese Situation zu verändern! An ihnen, Herr Justizminister, liegt es, dafür Sorge zu tragen, dass die mutwillige oder fahrlässige “Veröffentlichung” der von Unternehmen angesammelten Daten so empfindliche Konsequenzen nach sich zieht, so dass die permanenten administrativen Kosten, die mit einem aktiven Datenschutz verbunden sind, aus unternehmerischer Sicht zum kleineren Übel werden. Dafür steht ihnen das Strafrecht zur Verfügung, aber auch schon eine explizite zivilrechtliche Haftung wird spätestens dann Wunder wirken, wenn sich zum Beispiel die Kreditinstitute ihre Verluste durch personalisiertes Phishing und massenhaften Kreditkartenmissbrauch genau dort zurückholen könnten, wo die Daten für den Betrug abgegriffen wurden. Spätestens, wenn die Größe einer Datensammlung zur Höhe einer möglichen Haftungssumme korrellierte, würde auch endlich jedem Unternehmer klar werden, dass Datensparsamkeit das wichtigste Prinzip des Datenschutzes ist. Wenn grobe Fahrlässigkeit, Mutwillen und das Versäumnis, Betroffene umgehend zu infomieren, zusätzlich strafrechtliche Konsequenzen nach sich zögen, würde es in Zukunft kaum noch zu den großen, aus diversen Quellen zusammengestellten Datensammlungen der Kriminellen kommen.

Solche Bedingungen herzustellen, Herr Maas, wäre ihre Aufgabe als Justizminister, wenn sie das Thema auch nur ein bisschen ernst nähmen. Wie ich ihrem Auftreten und ihren Worten entnehme, arbeiten sie sich aber lieber an einem anderen Thema ab: Ihrem PR-werten Erscheinungsbild im öffentlichen Spiegelbild der Massenmedien.

Ich finde, dass diese ihre Priorität, Herr Justizminister, deutlich genug ist, um erstens wenig schmeichelhafte Rückschlüsse auf ihren von Heuchelei und sozialer Gleichgültigkeit zerfressenen Charakter zuzulassen, und zweitens, um klar zu erkennen, dass ihnen das gesamte Thema des Datenschutzes in Wirklichkeit völlig egal ist, und dass von ihrer Seite her demzufolge auch keine Bestrebung zur Verbesserung der gegenwärtigen Situation mehr kommen wird, wenn die Meldungen über eine kriminelle Sammlung von 18 Millionen Mailadressen mit Passwörtern demnächst von aktuelleren Meldungen aus dem Bewusstsein gespült werden.

Das finde ich schade.

Aber das finde ich auch völlig erwartungsgemäß. Denn ich bin — als täglicher “Genießer” der Politik in der Bundesrepublik Deutschland — inzwischen politikerverdrossen, also von Leuten wie ihnen verdrossen.

Mit freundlichem Gruß
Der Nachtwächter

Wunder der Informatik!

Das 1&1-Team brauchte nur einige Codezeilen, um aus der Browser-Erweiterung ein fieses Spionagewerkzeug zu stricken

Aus einem ComputerBild-Artikel, zitiert nach Heise Online

Kommentar (gallehaltig)

Was für ein Wunder der Informatik! Wenn man ein Programm so umschreibt, dass es etwas anderes machen soll, macht es etwas anderes als die vorherige Version! So kann man zum Beispiel aus einem Backup-Skript durch einfaches Ersetzen von rcp durch rm -rf in nur einer einzigen Zeile ein Skript machen, dass ganze Verzeichnisse unwiderbringlich vernichtet.

Ohne die gleichermaßen überragende wie leicht verständlich kommunizierte Kompentenz dieser qualitätsjournalistischen Fachzeitung wären derart gefährliche Möglichkeiten sicherlich niemals jemandem aufgefallen. :mrgreen:

Aber mal ernsthaft: Wer so offen und dreist psychisch manipuliert wird, wem so deutlich von einem Machwerk des Axel-Springer-Verlages gezeigt wird, dass seine Intelligenz verachtet und er für einen Idioten gehalten wird, der sollte sich vielleicht nach einer anderen Lektüre umschauen, statt solcher Verachtung auch noch sein sauer verdientes Geld hinterherzuwerfen. Die Wahrscheinlichkeit, dass die andere Lektüre auch fachlich besser sein wird, ist gar nicht mal klein…

Ende von XP bringt Bullshit hervor

Unter Programmierern galt Windows bis dahin wegen seines “Spaghetti-Codes” als berüchtigtes Software-Flickwerk. Erst mit Windows XP wurde das besser. Diese Windows-Version verband erstmals die Stabilität der seit 1993 für professionelle Anwender konzipierten Windows-NT-Linie mit benutzerfreundlicher “Plug & Play”-Fähigkeit durch automatische Erkennung von Druckern und anderem Zubehör

Welt Online — Windows: Ende von XP macht Geldautomaten unsicher

Kommentar

Der gesamte, mutmaßlich aus diversen anderen Quellen wechselnder Qualität zusammengestellte Artikel von Ulrich Clauß — Politikredakteur der springerschen Welt, was im leistungsschutzrechtgeschützten “Qualitätsjournalismus” offenbar völlig ausreichend ist, um einen Artikel über ein technisches Thema zu schreiben, von dem erkennbar keine vertiefte Fachkenntnis vorhanden ist — ist bescheiden. Er macht viele Worte zu der an sich sehr einfachen Tatsache, dass Microsoft ab dem 8. April 2014 den Support für Windows XP einstellen wird und dass dann keine Betriebssystemupdates mehr verteilt werden. Dies geht natürlich mit einem gewissen Sicherheitsrisiko einher.

Zunächst einmal zum eingangs exemplarisch zitierten Absatz nur das Gröbste in kurzen Worten:

  • Der “Spaghetti-Code” von Windows war unter Programmierern genau so bekannt wie… sagen wir mal… unter Philosophen oder Müllwerkern. Die Quelltexte wurden nicht veröffentlicht. Die Code-Qualität war und ist — im Gegensatz zu dieser sich der Wahrnehmung aufdrängenden unbefriedigenden Stabilität des damals sehr beliebten Aufsatzes auf MS/DOS — nicht beurteilbar.
  • Die Kombination von Plug & Play mit der Windows-NT-Linie für professionelle Anwender fand nicht erstmals mit Windows XP statt, sondern mit Windows 2000. Die “Neuerung” in Windows XP war es vielmehr, dass Microsoft nicht mehr eine instabile, für “einfache Anwender” konzipierte Windows-Version als MS/DOS-Aufsatz vermarktete, wie dies bis Windows ME der Fall war, sondern seinen mittlerweile bewährten und reifen Windows-NT-Kern für alle vermarkteten Windows-Versionen verwendete.
  • Dass Ulrich Clauß mit “Windows” dasjenige “Windows” meint, das im Wesentlichen ein grafischer Aufsatz auf MS/DOS war und nicht dasjenige “Windows”, das als “Windows NT” bekannt wurde und heute als “Windows” vermarktet wird, lässt sich nur mit Hintergrundwissen aus einem Kontext erschließen, den der Autor Ulrich Clauß in seinem ansonsten nicht gerade wortarmen Artikel nicht zu geben bereit oder imstande ist. Tatsächlich meinen diese beiden so gleich lautenden Namen zwei sehr verschiedene Produkte.

Oder zusammengefasst: Hier gibt jemand Halbverstandenes oder gar Unverstandenes wieder und schert sich nicht darum, dass der dabei entstehende Text für Leser objektiv wertlos ist.

Und das ist leider nicht auf den oben zitierten Absatz beschränkt.

Hier noch ein paar weitere geschmacklich minderwertige Rosinchen, herausgepickt aus einem Text, der Unwissen und Angst ausbreitet, ohne wirklich zu informieren.

Denn mit dem Auslaufen des Sicherheitssupports von Microsoft wird XP über Nacht zum unkalkulierbaren Sicherheitsrisiko. Vor dem “Wilden Westen für Cyber-Kriminelle”, “Russischem Roulette” und einer “Zeitbombe” warnen selbst seriöse Fachblätter, sollten Computer auch weiterhin mit XP betrieben werden.

Aus gutem Grund: Schon heute sind XP-Rechner die weltweit am meisten von Cyber-Attacken heimgesuchten Computersysteme

In der Tat aus gutem Grund, denn Windows XP wird nicht “über Nacht” völlig unsicher, nachdem es jetzt ja folglich (wenigstens halbwegs) sicher ist. Es ist mit seinen damaligen (und damals durchaus brauchbaren) Sicherheitskonzepten einer organisierten Kriminalität ausgeliefert, die dreizehn Jahre lang nicht geschlafen hat. Auch mit aktuellen Updates ist Windows XP ein großes Sicherheitsrisiko, insbesondere, wenn es einen Zugang zum Internet hat.

Ein güldener Schwafelpunkt übrigens für den presse- und politikschwafelmodernen Hyperlativ-Präfix “cyber” im Worte “Cyber-Attacken”. Kriminelle Angriffe auf Computer haben mit Kybernetik nur in einem skurillen Sinn des Wortes zu tun.

Werden die Sicherheitslücken nicht mehr repariert, wird der PC zu einem wahren Tummelfeld für Cyber-Kriminelle und Geheimdienste aller Herren Länder, die immerhin jetzt schon 13 Jahre lang Zeit hatten, Schwachstellen der ohnehin unzeitgemäßen Sicherheitsarchitektur von XP auszukundschaften

Mit Verlaub, Herr Clauß, sie können gar nicht genug angstvolle Worte machen, um darüber hinwegzutäuschen, dass ihre Botschaft in Wirklichkeit sehr kurz ist. Und ja, sie haben recht…

Denn dem Stand der Technik entspricht XP schon lange nicht mehr [...]

…dass das alles keine Neuigkeit ist, sondern das Windows XP bereits jetzt ein gewisses Sicherheitsrisiko darstellt. Nur zu ihrem eigenen “über Nacht” will es so gar nicht passen. :mrgreen:

Und nun der Druck aufs Panikknöpfchen, denn jetzt geht es um Gott selbst, nämlich ums Geld:

Auch über 90 Prozent der in Deutschland installierten Geldautomaten funktionieren mit XP-Embedded-Software. Das gleiche gilt für die 2,2 Millionen Geldautomaten weltweit. Die Betreiber müssten nun die Versorgung mit Sicherheitsupdates über den 8. April hinaus mit einem “kostenpflichtigen, individuellen Supportvertrag” sicherstellen, um ihre Systeme zu schützen, weil sie “massiv gefährdet” seien, so das Bundesinnenministerium

Alle diese Geldautomaten sind allerdings hoffentlich vom Internet entkoppelt und können folglich nur über die vorgesehenen Bedienelemente angesprochen werden: Ein paar Tasten und ein Kartenleser. Dass die Innenministerien in der BRD gern einen Fön simulieren und technisch blinde Heißluft ausströmen, ist keine Neuigkeit und ändert an der wirklichen Gefahrenlage nicht viel. Es gibt in der Praxis einen erheblichen Unterschied zwischen einem voll aufgeplusterten Desktopcomputer mit installiertem Browser, Office-Paket, PDF-Reader, Mailprogramm und dergleichen, dessen Komplexität eine unüberschaubare Fülle von meist über das Internet vorgetragenen Angriffen ermöglicht und einem Gerät mit minimaler Installation, das nicht einmal einen Desktop startet und nur eine einzige Anwendung laufen lässt. Das soll nicht heißen, dass es nicht wünschenswert wäre, einen aktuellen Betriebssystemstand zu haben. Aber die Komplexität durchgeführbarer Angriffe ist nun einmal überschaubarer.

Allerdings: Eine Entkopplung vom Internet ist nicht ausreichend, sagt mir der Qualitätsjournalist in der Wiedergabe anderer Stimmen, und er hat sogar Recht damit:

“Der Angriff auf ein solches System muss nicht direkt aus dem Internet erfolgen”, sagt Sven Wiebusch, Senior IT-Security Consultant der SySS GmbH, einem marktführenden Sicherheitsdienstleister, im Gespräch mit der “Welt” . Eine Angreifer-Ausbreitung über interne Netzkopplungen oder eine Kompromittierung über andere Schnittstellen durch physischen Direktzugriff (z. B. über Wartungszugänge) stelle ebenfalls ein nicht zu unterschätzendes Sicherheitsrisiko dar, sagt Wiebusch

Nun, um an einen Wartungszugang zu kommen, muss man im Allgemeinen das Gerät öffnen… und dagegen gibt es stabile Schränke mit dicken Wänden (die zusätzlich kameraüberwacht sind). Die stabilen Schränke muss es ja auch geben, schließlich liegen stapelweise die Banknoten darinnen. Sehr schön ist hier übrigens das Wort “Angreifer-Ausbreitung” über interne Netzkopplungen, das nach einem Film wie “Tron” klingt. Natürlich müssen die internenen Netzwerkverbindungen ebenfalls gesichert sein. Und das nicht erst, wenn “über Nacht” Windows XP zu einem Sicherheitsrisiko wird, sondern schon immer. Das gleiche gilt für die gesamte Hardware. Ebenfalls schon immer. Wenn ein Angreifer Zugriff auf Hardware hat, ist der Angriff erleichtert. Die beste Software-Sicherung auf dem aktuellesten und sichersten Betriebssystem nützt nichts, wenn jemand zum Beispiel einfach eine Festplatte ausbauen oder austauschen kann. Oder, wenn es möglich ist, einen USB-Stick einzustecken und darauf hinterlegter Code automatisch beim Einstecken ausgeführt wird.

Wenn Hersteller von viel benutzten XP-spezifischen Zusatzprogrammen wie Flash, Java oder Virenschutzprogrammen diese für XP nicht mehr aktualisieren, vervielfacht sich die Zahl der Einfallstore für Schadsoftware noch einmal

Na, wenigstens das sollte auf Geldautomaten kein Problem darstellen. :D

(Zugegeben, das war unfair, denn hier hat der Autor flatterleicht den Kontext gewechselt und ist bei Computern in Schulen, Behörden und im Deutschen Bundestag angekommen.)

Meine Empfehlung an Privatanwender, die einen alten, unter Windows XP laufenden PC herumstehen haben, der nicht mehr problemlos mit Windows 7 laufen würde und doch “zu schade zum Wegwerfen” ist:

  1. Computer sind billig geworden. Ein für Windows 7 brauchbares Gerät lässt sich manchmal — da gehört freilich Glück dazu — als Gebrauchtcomputer für fünfzig Euro schnappen.
  2. Ein unter Windows XP laufender Computer, der nicht mit dem Internet verbunden ist und in dem nicht ständig USB-Geräte eingestöpselt werden, kann immer noch ein gutes Arbeits- und Gaming-Gerät sein und muss nicht gleich weggeworfen werden. Es empfiehlt sich, daran ein bisschen zu konfigurieren, so dass niemals Code auf USB-Sticks und eingelegten CDs automatisch im Hintergrund ausgeführt werden kann. Auf ein Antivirusprogramm — das sowieso nur Schlangenöl ist — kann dabei verzichtet werden, was den Rechner übrigens erheblich beschleunigen kann.
  3. Wenn der XP-Rechner doch noch “Internet machen” soll, Firefox als Browser verwenden und die beiden wichtigsten Infektionswege blockieren, indem Adblock Edge und NoScript installiert werden. Dass nicht jeder Seite im Internet die Ausführung von Plugin-Code und JavaScript gestattet wird, und dass die Schadsoftware-Verbreitung über Ads unterbunden wird, sind die beiden wichtigsten Maßnahmen zur Erhöhung der Computersicherheit. Eine mögliche Ergänzung ist die Verwendung eines anderen PDF-Anzeigeprogrammes als dem Acrobat Reader mit seiner erschreckenden Sicherheitsgeschichte und eines anderen Office-Paketes als dem von Microsoft. Beides gibt es in frei und kostenlos. Zusammen mit etwas “gesunden Menschenverstand” bei der Computernutzung machen diese Maßnahmen einen Virenscanner entbehrlich.
  4. Schließlich: Es gibt kostenlose und freie Betriebssystemalternativen. Für einen Nur-Anwender dürfte beinahe jede größere Linux-Distribution geeignet sein. Die Installation geht schnell, ist fast immer problemlos, und hinterher steht ein arbeitsfähiger Computer mit einem aktuellen Betriebssystem auf dem Tisch. Eine andere, viel zu wenig bekannte Alternative ist PC-BSD, wenn man sich nicht einer gewissen unixoiden Rauigkeit stört und die Hardware-Anforderungen erfüllt sind.
Follow

Erhalte jeden neuen Beitrag in deinen Posteingang.

Schließe dich 599 Followern an