Open Source im professionellen Einsatz
Linux-Magazin 08/2011

Vorrat an Verrat

540

Die österreichische Schriftstellerin Marie von Ebner-Eschenbach wusste: "Wenn alberne Leute sich bemühen, ein Geheimnis vor uns zu verbergen, dann erfahren wir es gewiss, so wenig uns auch danach gelüstet."

Das werden Steuerflüchtlinge bestätigen, die ihr mühevoll erspartes Schwarzgeld bei Schweizer Banken angelegt hatten und wegen aus der Bank geschmuggelter Datensätze jetzt ihre Anzughosen auf Anklagebänken durchscheuern. Geheimnisse zu bewahren, dafür scheint der Mensch nicht geschaffen.

Mit den Computern betraten Hacker und Cracker das Feld. Ihre Motive variieren wie bei anderen Spionen und Verrätern, das Resultat ist aber das gleiche. Die Liste der Fälle ist lang, und die Aussichten gering, dass das Phänomen eines Tages abebbt. So war jüngst Sony gleich zwei Mal Ziel geglückter Attacken.

Viel weitreichender, aber wegen seiner technischen Komplexität von der Öffentlichkeit kaum beachtet, gestaltete sich im März der Einbruch bei der zu EMC2 gehörenden Firma RSA. Über einen Zero-Day-Exploit für Adobes Flash spähten Hacker erst einen Mitarbeiter-PC aus und dann die Unternehmensserver, wo die geheim gehaltenen Informationen zu Secur ID lagerten, ein mit Token arbeitendes Zweifaktor-Authentifizierungsprodukt, das alle 60 Sekunden Passwörter neu erzeugt. Den RSA-Hackern sind offenbar neben Teilen des Sourcecodes alle so genannten Seeds in die Hände gefallen. Seither können sie selbst gültige Secur-ID-Passwörter erzeugen.

Das ist einigermaßen doof für RSA, weil weltweit 40 Millionen solcher Token im Einsatz sein sollen und 250 Millionen Softwareversionen – häufig an Stellen mit, man ahnt es, sehr hohen Sicherheitsanforderungen. RSA versuchte anfangs den Ball flach zu halten und erklärte, möglichweise sei die Effektivität der Zweifaktor-Authentifizierung verringert. Das war untertrieben. Im Mai meldete die Nachrichtenagentur Reuters, Unbekannte seien in die Secur-ID-geschützten Netzwerke von Lockheed Martin und anderen dem US-Militär nahestehenden Firmen eingedrungen. Jetzt erklärt RSA-Chairman Arthur W. Coviello alle 40 Millionen Hardware-Tokens austauschen zu wollen, bei denen von Regierungseinrichtungen und Rüstungsunternehmen sei das bereits geschehen.

Was können uns die wenigen Beispiele aus einer Reihe vieler Vorfälle lehren? Zuerst, dass die Unkenntnis eines kryptographischen Algorithmus allein keinerlei Schutz bietet. Sicherheit ergibt sich rein aus der Stärke des Algorithmus und der Qualität der Implementierung – was eine Art Blaupause für Open Source ist.

Eine zweite Erkenntnis scheint noch schwerer vermittelbar: Kaum ein Geheimnis lässt sich auf Dauer bewahren, selbst wenn auf dessen Verrat die Todesstrafe steht. Von Julius Cäsar ("Ich liebe den Verrat, aber ich hasse Verräter.") über den Oslo-Report (in dem 1939 ein Physiker den militärischen Forschungstand Deutschlands verriet) bis Wikileaks reiht die Geschichtsschreibung eine durchgesickerte Information an die nächste.

Das probate Gegenmittel heißt Datensparsamkeit: Wer keine Geheimnisse hortet, dem können sie auch nicht verlustig gehen. So schlicht das Argument, so wenig findet es Beachtung. Bei der kometengleich wiederkehrenden Debatte um die verdachtsunabhängige Vorratsdatenspeicherung von Kommunikationsdaten beispielsweise spielt die Unmöglichkeit der Geheimhaltung keine wirksame Rolle.

Was bitte nützen enge Kriterien für den Zugriff staatlicher Stellen, wenn Hacker in die Systeme eindringen oder sich unterbezahlt und gemobbt fühlende Admins ihre privaten USB-Sticks füllen?! Wenn unsensible Leute sensible Daten zu verbergen trachten, dann erfahren wir diese gewiss, so wenig uns auch danach gelüstet.

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Perl-Snapshot

    Der Musikstreaming-Service Spotify pumpt gegen eine monatliche Gebühr Musik auf den Desktop und aufs Smartphone. Noch mehr Groove hat, dass Perl-Hacker Michael Schilli per Oauth-geschütztem Web-API seine Spotify-Playlisten für die Ewigkeit archiviert.

  • Bugzilla: Fehler in Zugangskontrolle
  • Perl-Snapshot

    Mit einer chinesischen Guillotine und einem Einzugsscanner bewaffnet geht Perlmeister Michael Schilli diesmal seinen Büchern an den Leim. Die Grundlage seiner bibliophoben Tat liefert Google Drive, das mit 5 GByte genug Speicherplatz für ein Online-PDF-Lager mit eingescannten Büchern bietet.

  • Zarafa Summercamp: Z-Push 2.0, EWS und Zweifaktor-Authentifizierung

    In den technischen Vorträgen des diesjährigen Entwicklertreffens von Zarafa im niederländischen Kerkrade stellten Mitarbeiter des Groupwareherstellers und seiner Partner Neuerungen an der Software und ihren Komponenten vor, zum Beispiel die am Donnerstag freigegebene Version 2 der freien Active-Sync-Implementierung Z-Push, die Zarafa-Weboberfläche Webapp 1.1 und die EWS-Unterstützung im Groupwareserver selbst. Vom Partner Ubikey kommt Two-Factor-Autentication mit Tokens auch in Webapp.

  • Russische Hacker stehlen Milliarden Profile

    Wenn es stimmt, wäre es ein trauriger Weltrekord: Russische Hacker sollen mehr als Milliarde Datensätze mit Nutzerprofilen entwendet haben.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.