Sie reden vom Netz wie Blinde vom Licht

Beiträge mit Schlagwort “BSI

Fotokopieren der Website erlaubt

Downloads und Fotokopien von Web-Seiten — nur für den persönlichen, privaten, nicht kommerziellen Gebrauch — dürfen grundsätzlich hergestellt werden.

Aus dem Impressum der Website des Bundesamtes für Sicherheit in der Informationstechnologie

Platsch, da war ein neuer, fetter Blindfisch im Aquarium, eine ganze Bundesbehörde dieses Mal…

Nachtrag, 22. Januar, 20:20 Uhr: Wer richtige Heiterkeit fühlen möchte, sollte mal nach „Downloads und Fotokopien von Web-Seiten“ googlen. Aber bitte keine harten Gegenstände in Kopfnähe, wegen der Verletzungsgefahr. 😀

Danke für den Hinweis in den Kommentaren an „piy“!


Bullshit statt Sicherheit in der Informationstechnologie

Sehr geehrte Dame, sehr geehrter Herr,

Sie haben diese E-Mail erhalten, weil die E-Mail-Adresse forum (strich) xxxx (strich) kontakt (at) txxxxxi (punkt) de auf der Webseite www (punkt) sicherheitstest (punkt) bsi (punkt) de eingegeben und überprüft wurde.

Die von Ihnen angegebene E-Mail-Adresse forum (strich) xxxx (strich) kontakt (at) txxxxxi (punkt) de wurde zusammen mit dem Kennwort eines mit dieser E-Mail-Adresse verknüpften Online-Kontos von kriminellen Botnetzbetreibern gespeichert. Dieses Konto verwenden Sie möglicherweise bei einem Sozialen Netzwerk, einem Online-Shop, einem E-Mail-Dienst, beim Online-Banking oder einem anderen Internet-Dienst.

Um diesen Missbrauch zukünftig zu verhindern, empfiehlt das BSI die folgenden Schritte:

1. Überprüfen Sie Ihren eigenen Rechner sowie weitere Rechner, mit denen Sie ins Internet gehen, mittels eines gängigen Virenschutzprogramms auf Befall mit Schadsoftware.

2. Ändern Sie alle Passwörter, die Sie zur Anmeldung bei Online-Diensten nutzen.

3. Lesen Sie die weiteren Informationen hierzu unter www (punkt) sicherheitstest (punkt) bsi (punkt) de.

Diese E-Mail ist vom BSI signiert. Wie Sie die Signatur überprüfen können erfahren Sie auch unter www (punkt) sicherheitstest (punkt) bsi (punkt) de.

Mit freundlichen Grüßen
Ihr BSI-Sicherheitstest-Team

Vollzitat der E-Mail des Bundesamtes für Sicherheit in der Informationstechnik, wenn man eine E-Mail-Adresse zur Überprüfung eingegeben hat, die kompromittiert ist
Die Mailadresse ist im Zitat unkenntlich gemacht worden

Antwort in Form eines Offenen Briefes

Werte Mitarbeiter und Mitarbeiterinnen im BSI-Sicherheitstest-Team,

ich bin einmal mehr in meinem Leben froh, dass ich für jede erforderliche Registrierung bei einer Website eine Wegwerf-Mailadresse benutze — und dass ich mir angewöhnt habe, diese Wegwerfadressen so zu wählen, dass ich nach einem Datenleck auch weiß, von welcher Website oder welchem Anbieter dieses Datenleck ausgeht. Im Falle der E-Mail-Adresse, die ich euch zur Überprüfung gegeben habe, handelt es sich um eine Adresse, die ich nach einem Forenhack schon vor über einem Jahr wegen der darauf eingehenden Spam stillgelegt habe, und die ich kurz noch einmal aktiviert habe, um meinen Verdacht zu überprüfen, dass eure Datenbasis etwas windig sein könnte.

Hätte ich dieses Quäntchen Vorsicht nicht und hätte eine aktive und für mich persönlich wichtige E-Mail-Adresse angegeben, die sich ebenfalls in eurer windigen Datenbank befindet, dann wüsste ich nach eurer Mail und nach eurer schwafelig-nebulösen (und von etlichen Journalisten nochmals irreführend wiedergegebenen) Informationsarbeit in den Medien nichts. Ich wüsste insbesondere nicht, auf welchem Weg die Mailadresse (zusammen mit irgendwelchen Passwörtern, die irgendwie zu dieser Mailadresse gehören, ohne dass irgendetwas klar wäre) in die Hände der Kriminellen gekommen ist.

Ich würde womöglich sogar glauben, dass mein Computer von Schadsoftware befallen ist.

Ich würde dann jetzt damit beginnen, mich nach einem „gängigen Antivirusprogramm“ für mein verwendetes Linux umzuschauen, das mir bislang derartiges Schlangenöl erspart hat. BTW: Wie viel hat euch die Antivirus-Schlangenöl-Klitsche „Avira“ eigentlich dafür bezahlt, dass ihr Logo in diesem Kontext auf eurer Website aufgenommen wurde? Oder handelt es sich um eine Gefälligkeit auf noch windigerer Grundlage, wie dies in der Bimbesrepublik Deutschland leider auch immer mehr um sich greift?

Wenn ich ganz besonders vorsichtig wäre — das ist bei einem Befall mit Schadsoftware übrigens sehr zu empfehlen — würde ich sogar mein Betriebssystem neu installieren. Bis es wieder so liefe, dass es mir dient, zöge mindestens ein halber Tag ins Land.

Und ich würde damit anfangen, an ungefähr sechzig Stellen im Internet mein jeweils dort verwendetes Passwort zu ändern. Wie mir gesagt wurde, soll dies im Moment teilweise recht schwierig sein, weil populäre Freemail-Anbieter wie GMX unter der plötzlichen Flut derartiger Änderungen überlastet sind. Aber das mit der Überlastung versteht ihr ja selbst, denn eure eigene Website ist ja auch vom Netz gewesen, weil bei euch aus unverständlichen Gründen niemand damit gerechnet hat, dass eine derartige Meldung dazu führt, dass sich ein paar Millionen Menschen innerhalb weniger Stunden näher informieren möchten.

Und diese ganze Mühe käme über mein Leben, weil ich euren Standardtext ernst nähme, während in Wirklichkeit ein Webserver durch einen Crack kompromittiert wurde, auf dem ein Webforum lief, in dem ich mit einer Mailadresse registriert war. Dieser Angriff auf einen Webserver hat mit meinem Computer ungefähr so viel zu tun wie ein Pfund Mondgestein mit der Mandarine, die ich eben gerade gegessen habe. Er lässt sich auch nicht durch Antivirus-Schlangenöl auf meinem Rechner verhindern. Und ihr beim Bundesamt für Unsicherheiten in der Desinformationstechnik befindet es nicht für nötig, deutlich auf die Quelle dieser Daten hinzuweisen, sondern habt stattdessen so richtig laut tatütata auf den Alarmknopf gedrückt.

Könnt ihr euch vorstellen, wie inkompetent eurer Aufreten wirkt?

Könnt ihr euch vorstellen, was für Eindrücke eurer Auftreten bei anderen Menschen hinterlässt, die trotz eures schrillen Alarms noch ihre fünf Sinne beisammen haben und — lobenswerterweise — kurz nachdenken, bevor sie etwas im Internet machen?

Wenn ihr eine Vorstellung davon bekommen wollt, empfehle ich euch sehr, mal den zugehörigen Kommentarthread im Heise-Forum zu überfliegen. Falls ihr dafür keine Zeit habt, habe ich euch mal ein paar Anmerkungen herausgesucht: klick, klick, klick, klick, klick, klick und klick.

Fällt euch etwas auf?

Ja, eure schrille Aktion zusammen mit der Aufforderung, eine E-Mail-Adresse auf einer Webseite einzugeben — die übrigens wegen akutem Hirnrisses zum Absenden der eingegebenen Mailadresse über eine HTML-<form> nicht auf den guten alten <input type="submit"> setzt, sondern unnötigerweise auf JavaScript, also von Nutzern eine Lockerung von Sicherheitseinstellungen ihres Browsers ohne dafür vorliegenden technischen Grund verlangt — führt dazu, dass Verschwörungstheorien aufkommen, dass es in Wirklichkeit darum gehe, über eine Behörde der Bundesrepublik Deutschland eine Zuordnung von aktiv genutzten E-Mail-Adressen zu temporären IP-Adressen herzustellen, die wenigstens theoretisch in Zusammenarbeit mit den großen Zugangsprovidern eine Deanonymisierung von Mailadressen ermöglichte. Man könnte eure Aktion natürlich auch für unausgegoren, übereilt und gnadenlos dumm halten, aber angesichts der monströs gewordenen staatlichen Überwachung des Internet stellt sich schon die Frage, ob derartigen Verschwörungstheorien eine Verschwörungspraxis auf eurer Seite gegenübersteht. Natürlich könnt ihr das dementieren. Glauben werden es euch viele Menschen nicht mehr. Nach Ronald „Beender“ Pofalla führt ein solches Dementi stattdessen zu spontaner Heiterkeit. Ihr habt… entschuldigt bitte den etwas unsachlichen Tonfall… als eine Behörde der Bundesrepublik Deutschland längst bei vielen Menschen verschissen, wenn es um ihre Privatsphäre geht.

Und ihr verspielt gerade das letzte Vertrauen in der Bevölkerung. Wegen einer für Betroffene objektiv nutzlosen Aktion, die ihr mit einem erschütternden Mangel an wirklicher Information, unzureichend dimensionierter Technik und ausgesprochen schrillen Alarmtönen kombiniert. Eure künftigen Warnungen und Presseerklärungen werden nicht mehr so ernst genommen werden, wie es dann vielleicht angemessen wäre.

Nur, um es euch mal kurz gesagt zu haben.

Euer euren heutigen Bullshit „genießender“
Nachtwächter

PS: Gruß auch an den Bundesdatenautobahnminister Dobrindt!

Nachtrag, 23. Januar 2014, 14:00 Uhr

Zu welchen Überreaktionen die Fehl- und Desinformationskampagne des BSI bezüglich der Herkunft der vorliegenden Mailadressen führen kann, ist recht anschaulich von einer Redakteurin der Berliner Zeitung beschrieben worden, der vermutlich ein ganzer Tag von… sorry, BSI, aber was ihr macht, verdient die Deftigkeit des Wortes… dieser Scheiße versaut wurde — und am Ende bleibt doch nur die Frucht des Nichtwissens:

Aber das Gefühl, nicht zu wissen, wofür meine Daten vielleicht verwendet werden sollen, lässt mich hilflos zurück und wird mich auch noch in Zukunft sorgen

Derartiges geschah gestern und geschieht heute hunderttausendfach. Weil bei Forenhacks und Datenlecks kommerzieller Webanbieter Kombinationen aus Mailadresse und möglicherweise Passwort (das wird bislang nur vom BSI behauptet, und das BSI behauptet so einiges, wie sich weiter oben lesen lässt) eingesammelt wurden und in einer Botnetz-Software für verteilte Angriffe auf irgendwas benutzt wurden — also mutmaßlich auf Twitter, Facebook, Ebay, in diversen Shops etc. einfach als Login-Daten durchprobiert wurden. Oder auch einfach nur ungenutzt herumliegen. Die unfassbar schlechte Informationspolitik des BSI verursachte gestern, verursacht heute und wird morgen einen recht erheblichen wirtschaftlichen Schaden verursachen. Für nichts. Nicht einmal für einen nennenswerten Zuwachs an Computersicherheit. Die durch das mediale Interesse äußerst günstige Gelegenheit, an dieser Stelle deutlich und unmissverständlich darauf hinzuweisen, dass für jeden Dienst im Internet ein anderes Passwort verwendet werden sollte, um die Folgen eines „Hacks“ zu minimieren, hat das BSI genau so verstreichen lassen wie es die eigentliche Aktion verpatzt hat.

Da ich in den Kommentaren zu diesem Text wegen dieses Textes schon aus mir nicht weiter nachvollziehbaren Gründen ein „Fefe-Jünger“ gerufen werde, verlinke ich auch gern den standesgemäß Popcorn-trächtigen Eintrag in Fefes Blog — mit einem kleinen Teller magentafarbener Buchstabensuppe. Guten Appetit! 😀

Nachtrag 25. Januar, 0:15 Uhr:

Nicht jede E-Mail-Warnung des Bundesamts für Sicherheit in der Informationstechnik lässt auf einen geknackten Online-Zugang schließen. Laut BSI könnte der Datenberg „fiktive“ Adressen enthalten, und die sogar mehrfach […]

Die behördliche E-Mail mit der entsprechenden Warnung ist bei diversen von der iX-Redaktion eingerichteten Freemailer-Adressen eingegangen, die lediglich dem Einsammeln von Spam dienen, darunter bei web.de und freenet […] Von einem Identitätsdiebstahl kann in diesen Fällen keine Rede sein, denn die iX setzt die Spamfallen rein passiv ein und niemals als Benutzernamen für Online-Dienste

Heise Online — Millionenfacher Identitätsklau: „Fiktive“ Mail-Adressen in BSI-Sammlung

Bitte dort weiterlesen. Und keine harten Gegenstände in Kopfnähe, wegen der Verletzungsgefahr.

Nachtrag 2. Februar 2014: Niemand sage, dass Bundesamt für Blah im Blah hätte nicht genügend Zeit gehabt, diese Aktion vorzubereiten! Die saßen seit August 2013 auf den Daten, und sie haben es die ganzen Monate nicht für nötig befunden, jemanden über die „Gefahren“ zu informieren. Dass es den Spezialexperten nicht gelungen ist, binnen eines halben Jahres eine skalierbare und an dem nach Presseerklärung und Tagesschau-Meldung erwartungsgemäßen Andrang angepasste Prüfseite zu bauen, spricht Bände! Diese Prüfseite hätte ja — anders, als sagen wir einmal: die Website von Heise Online — nur einen einzigen Anwendungsfall gehabt: Überprüfen, ob eine eingebene Mailadresse in einer Datenbank enthalten ist.

Nachdem jetzt mit konstantem Tatütata-Ton heraustrompetet wird, dass sogar Mailadressen von Bundesbehörden in dieser ominösen Liste (siehe oben) aufscheinen, erwarte ich den reflexhaften Speichelfluss der pawlowschen Hunde bei Polizeien, Geheimdiensten und Innenministerien, dass jetzt ja unbedingt stärker anlasslos überwacht werden muss und eine so genannte „Vorratsdatenspeicherung“ unerlässlich geworden ist. Der naheliegende Verdacht, dass es sich um eine gezielte Inszenierung handelt, wird dabei natürlich zu den „Verschwörungstheorien“ gerechnet werden.


Der Kampf gegen Phishing

Beim Phishing versuchen Kriminelle, vertrauliche Daten von Nutzern zu erlangen – häufig indem sie per Mail auf eine gefälschte Webseite locken und dort beispielsweise zur Eingabe von Kontodaten auffordern. Im Kampf gegen Phishing rät das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einem aufmerksamen Umgang mit E-Mails, aber auch zum Einsatz von Antivirus-Software und einer Firewall. Zudem sollten Nutzer das Betriebssystem und Anwendungsprogramme wie den Browser laufend aktualisieren, heißt es in einem Ratgeber des BSI.

Focus Online — Internet: Phishing-Schutz: Viele verlassen sich aufs Gespür

Kommentar

Und, welchen konkreten Nutzen hat ein Antiviren-Programm und eine so genannte „Personal Firewall“, wenn jemand eine Website aufruft und dort Daten für den Zugriff auf sein Bankkonto — oder häufiger — seine Kreditkarte eingibt? Richtig: Diese Software bietet gar keinen Schutz gegen Phishing.

Der Webbrowser, der die Daten nach Eingabe und einem Klick auf „Absenden“ an eine von Betrügern unterhaltene Website sendet, ist in der so genannte „Personal Firewall“ als vertrauenswürdige Anwendung eingetragen, da man damit selbstverständlich aufs Internet zugreifen will. Und ein Virus kommt gar nicht ins Spiel.

Die von Focus Online übernommene DPA-Meldung ist also irreführend und gefährlich; ein weiteres Beispiel für einen Text zu einem wichtigen Internetthema — nämlich der Kriminalität im Internet — der frei von auch nur einer Spur Sachkenntnis geschrieben wurde. Der dabei entstandene, haarsträubende und für naive Menschen sehr gefährliche Unsinn wurde offenbar von niemanden begutachtet, bevor er veröffentlicht wurde. Die Vorstellung, dass dieser Unsinn in wenigen Stunden in einigen gedruckten Zeitungen erscheinen wird und — aufgeladen mit der scheinbaren Autorität des „Qualitätsjournalismus“ — einen Beitrag dazu leisten wird, dass noch mehr Menschen sich in falscher Sicherheit wiegen und aus diesem Irrtum heraus zu Opfern der organisierten Internetkriminalität werden, löst in mir das Gruseln aus.

Das Bundesamt für Sicherheit in der Informationstechnik, auf das diese Fehlinformation angeblich zurückgehen soll, ist ziemlich, aber nicht völlig unschuldig an dieser Fehlinformation. Der anonyme DPA-Schreibtischtäter, der sich bei diesem Artikel der Aufgabe entledigt hat, Text zu einem Thema zu schreiben, von dem er überhaupt nichts versteht, hat allerdings auch dafür gesorgt, dass die wirklichen Empfehlungen des BSI zum Thema Phishing nicht von jedem Leser leicht gefunden werden können, indem er sie gar nicht erst verlinkt hat.

Wer sich einmal die vollständigen Empfehlungen des BSI gegen Phishing anschaut, sieht zwar, dass hier wirklich absurderweise von einer so genannten „Personal Firewall“ und einem Antiviren-Programm die Rede ist. Dies ist jedoch — leicht erkennbar — nicht der Kern der dortigen Mitteilung; vielmehr wird zu einem angemessen vorsichtigen Umgang mit E-Mail, mit Links in E-Mails und sogar mit Telefonanrufen „der Bank“ aufgefordert. Insbesondere sollen dabei niemals Zugangsdaten im Internet oder als Reaktion auf einen Telefonanruf preisgegeben werden. Dass das BSI diese naheliegenden Empfehlungen mit einer Reihe weiterer, allgemeinerer Empfehlungen kombiniert hat, ist sicherlich genau so eine Schwäche des Textes wie die Idee, als Überschrift für einen Artikel zum Thema „Phishing“ den in diesem Kontext beinahe dadaistischen Text „Bringen Sie Ihre Software immer auf den aktuellen Stand!“ zu wählen.

Hoffentlich sehen die Mitarbeiter des BSI in den nächsten Tagen einmal, was für eine gefährliche Desinformation herauskommt, wenn Journalisten die schlampig in den Text reinkopierten, nebensächlichen Tipps zur Hauptsache des „Schutzes gegen Phishing“ machen. Und hoffentlich formulieren diese Mitarbeiter des BSI dann den gesamten Phishing-Text um, damit die Informationen darin vor allem von jenen Menschen richtig aufgefasst werden, die solche Informationen brauchen. Die Nachlässigkeit, in der die Schutzmaßnahmen gegen Phishing dort im Moment formuliert sind, wird wegen ihrer Widerspiegelung in einer DPA-Melduing, die schon morgen in die Druckausgaben diverser Zeitungen zwischen das eigentliche Zeitungsgeschäft — die Reklame — gestempelt werden wird, dazu führen, dass die Betrüger im Internet mehr naive, unaufgeklärte und fehlinformierte Opfer für ihre miesen Machenschaften finden.

Und nicht, dass mich jetzt jemand falsch versteht: Aktuelle Software für Arbeit und Spaß im Internet zu verwenden, ist immer eine gute Idee und eine gleichermaßen einfache wie wichtige Schutzmaßnahme… nur: Das hat nichts mit Phishing zu tun.