Der E-Mail-Dienst für PC-Profis, Ausgabe vom 22. Juli 2005

Leichtsinn kommt vor dem Hack

Von Dr. Giesbert Damaschke, München

Liebe Leser,

wenn ich Sie bitten würde, mir doch mal rasch Ihr Passwort für Ihren Internet-Zugang oder für Ihren Account im Firmennetzwerk zu geben – würden Sie das tun? Vermutlich nicht (hoffe ich mal).

Aber wie sieht die Sache aus, wenn Sie Ihr Kollege darum bittet, weil er seinen Zugang gerade nicht parat hat und dringend an seine Daten muss, er hat doch gleich dieses wichtige Meeting, da werden Sie doch mal nicht so sein, oder?

Sollten Sie aber.

Dabei geht es nicht darum, ob Sie Ihrem Kollegen nun blind vertrauen oder nicht, sondern um ein prinzipielles Sicherheitsproblem. Je mehr Leute Ihr Passwort kennen, desto unsicherer wird es – ohne dass böser Wille im Spiel sein muss, es geht fast von allein.

Es reicht ja schon, wenn sich Ihr vertrauenswürdiger Kollege das Passwort aufschreibt, in der Hektik aber vergisst, den Zettel ordentlich zu vernichten. Oder das Kennwort wird über ein Webformular im Browser eingetragen und der Browser merkt sich die Daten. So oder so, am Ende liegen Ihre notierten Zugangsdaten offen herum und auch weniger vertrauenswürdige Mitmenschen als Ihr Kollege haben freien Zugriff auf Ihre Daten.

Das sind nur zwei von zahlreichen Szenarien, in denen die Weitergabe eines Kennwortes an Kollegen fatale Folgen haben kann und die Praxis wartet fast täglich mit neuen Varianten auf.

Eine Kollegin, die ich einmal auf ihren etwas leichtsinnigen Umgang mit Zugangsdaten aufmerksam machte, erwiderte nur "Och, ich hab doch gar keine geheimen Daten im Netz". Das mag zwar richtig gewesen sein, was sie dabei aber vergaß war, dass Sie als Mitarbeiterin einer bestimmten Arbeitsgruppe automatisch auch bestimmte Zugriffsrechte im Netzwerk besaß. Die waren ihr zwar gleichgültig, da sie sie für ihre tägliche Arbeit nicht nutzte, aber das änderte natürlich nichts daran, dass man über ihren Account auf fremde und einigermaßen sensible Firmendaten zugreifen konnte.

Sie kam nie auf die Idee, dass jemand, der ihre Zugangsdaten besaß, gar nicht an ihren eigenen Daten interessiert sein könnte, sondern ihren Account nur als Sprungbrett in andere Netzwerkbereiche benutzen könnte. Als ich ihr dieses Szenario kurz skizzierte schaute sie ein wenig unbehaglich, wischte die Bedenken aber mit einem "Wer macht denn sowas!" vom Tisch.

Ein anderer Kollege, der es eigentlich besser hätte wissen müssen, legte in seinem Netzwerkbereich diverse Excel-Tabellen mit Budgetplanungen und ähnlichen ab. Nun waren die Konten im Netz zwar durch ein Kennwort einigermaßen gut geschützt – aber das Kennwort selbst war alles andere als sicher. Der Kollege hatte es nämlich bei dem Standardkennwort belassen, dass jedem neuen Mitarbeiter zugeteilt wurde und nach sehr einfachen Regeln aus dem Namen des Mitarbeiters abgeleitet werden konnte.

Kurz: Wenn es um Kennwörter im Netzwerk geht, werden die meisten Menschen leichtsinnig und verlassen sich darauf, dass schon nichts passieren wird. Zu diesem Ergebnis kommt auch die jüngste Studie von "Meetbiz Research & Denkfabrik". Die Marktforscher befragten in einer anonmyen Umfrage rund 1200 Mitarbeiter in Unternehmen nach ihrem Umgang mit Kennwörtern. Das Ergebnis ist ein wenig erschreckend:

• Rund 50 % gaben dann dass sie ihre Zugangsdaten schon einmal an Kollegen weitergegeben haben.
• Rund 15 % verraten ihre Kennwörter sogar regelmäßig.
• Immerhin glauben 44 %, dass ihre Kennwörter absolut sicher seien (ob dieser Glaube berechtigt ist, sei mal dahingestellt).
• Rund 20 % sind dagegen der Überzeugung, dass man ihre Kennwörter leicht erraten könnte.

Einer der Gründe für diesen erstaunlich leichtsinnigen Umgang mit sensiblen Daten mag darin liegen, dass die Zugangsdaten zum Firmennetzwerk dem Mitarbeiter immer "fremd" bleiben. Die gehören schließlich zur Firma, nicht zu ihm selbst. Mit seinen privaten Daten geht man normalerweise sorgfältiger um als mit seinen beruflichen Daten, trifft einen doch hier der Missbrauch sehr viel direkter.

Gegen die Weitergabe von Kennwörtern kann man kaum etwas anderes tun, als dafür zu sorgen, dass die Mitarbeiter ein angemessenes Problembewusstsein entwickeln, kurz: Die Mitarbeiter müssen geschult werden.

Aber den 20 Prozent, die ihr Kennwort für leicht zu knacken halten, kann ich hier und jetzt helfen. Es gibt nämlich einen einfachen Trick, um sich ein Kennwort zu basteln, das man selbst sehr schnell rekonstruieren kann, das von anderen aber praktisch nicht zu erraten ist.

Man nehme eine leicht zu merkende Phrase, ein Sprichwort, einen Buchtitel oder ähnliches. Zum Beispiel: "Harry Potter and the Half-Blood Prince". Daraus extrahiert man nach einer einfachen Regel eine Reihe von Buchstaben, etwa den ersten Buchstaben eines Wortes. Dann erhält man in diesem Beispiel "HpatH-BP". Nun setzt man noch zwei Zahlen an den Anfang und ans Ende – zum Beispiel das eigene Geburtsdatum – und fertig ist das Kennwort: "19 HpatH-BP 61".

Ihr

Dr. Giesbert Damaschke

Firefox 1.06 erschienen / Firefox-Roadmap angepasst

Vor kurzem erschien das Sicherheitsupdate 1.05 von Firefox, dessen Verbreitung allerdings gestoppt wurde, da kurz nach der Fertigstellung der Version ein weiterer Fehler gefunden wurde.

Die jetzt vorliegende Version 1.06 bessert nun alle bisher bekannt gewordenen Bugs und Programmfehler aus. Die Version steht ab sofort zum Download bereit und ist auch auf deutsch erhältlich. Firefox ist wie immer kostenlos.

Außerdem haben die Entwickler ihre Roadmap den veränderten Bedingungen angepasst. Bislang waren zwei weitere Zwischenversionen bis zur Version 2.0 geplant. In Kürze sollte Firefox 1.1 frei gegeben werden (diese Version wurde bislang unter dem Namen "Deer Park" entwickelt und liegt derzeit in der zweiten Alpha-Version vor). Wenige Monate später und noch in diesem Jahr sollte 1.5 folgen, und den Weg für die nächste Hauptversion Firefox 2.0 ebnen.

Nun haben sich die Entwickler entschieden, die geplante 1.1-Version zu überspringen und gleich die Version 1.5 in Angriff zu nehmen. Der Codename "Deer Park" wurde beibehalten. Die erste Beta-Version ist für August geplant.

Damit die Anwender alle geplanten neuen Feature ausprobieren und beurteilen können, soll bereits die erste Beta von Firefox 1.5 den kompletten Funktionsumfang des endgültigen Programms bieten. Einen Termin für das Erscheinen der Final von Firefox 1.5 gibt es noch nicht, er soll aber noch in diesem Jahr liegen.

Die Entwickler sind bei ihren Planungen allerdings schon weiter, für das erste Quartal 2006 steht Version 2.0 auf dem Programm, für das dritte Quartal 2006 ist Firefox 3.0 geplant.

Download von Firefox 1.06, deutsch

Oracle ignorierte zwei Jahre lang Sicherheitslücken

Keine Software ist fehlerfrei und jedes Produkt kann verbessert werden. Niemand kann daher einer Softwarefirma per se vorwerfen, ihre Produkte seien fehlerhaft oder ein Sicherheitsrisiko. Normalerweise wird daher ein Fehler, den ein Anwender mehr oder weniger zufällig entdeckt, auch nicht an die große Glocke gehängt, sondern dem Hersteller gemeldet. Der überprüft das Problem und sorgt im Falle eines Falles zeitnah für Abhilfe.

Doch was tut man, wenn ein großes Datenbank-Unternehmen mehrfache Hinweise auf kritische Sicherheitslücken in ihren Produkten einfach ignoriert? So erging es Alexander Kornbrust von Red Database Security. Er hatte in den vergangenen zwei Jahren die Firma Oracle mehrfach auf eine schwerwiegende Panne hingewiesen, ohne dass der Datenbankhersteller reagiert hätte. Nach rund 700 Tagen und nach dem Ablauf eines Ultimatums, das er dem Unternehmen gestellt hatte, riss Kornbrust der Geduldsfaden und er ging mit seinem Wissen an die Öffentlichkeit.

Und jetzt reagiert endlich auch Oracle. Man lege, so der Konzern, sehr großen Wert auf die Sicherheit der Produkte und sei unglücklich darüber, dass Kornbrust die Lücken publik gemacht habe.

Sicherheitsexperten sehen in diesem Statement gleich den zweiten Patzer von Oracle, gibt das Unternehmen damit doch zu, dass die von Kornbrust genannten Probleme tatsächlich existieren.

Wann es einen offiziellen Patch geben wird, ist noch unklar. Kleiner Trost: Kornbrust beschreibt nicht nur die Fehler, sondern erläutert auch, wie man sie umgehen kann.

Deuschsprachige Webseite von Red Database Security

Firefox-Extension der Woche: "Browser Uptime"

Der Browser Firefox kann über so genannte "Extensions" um neue und nützliche Funktionen erweitert werden. "Business-PC Daily" stellt Ihnen jeden Freitag eine dieser Erweiterungen vor.

"Browser Uptime" von Cosmic Cat Creations

Zur Kontrolle der eigenen Surfzeiten ist es mitunter ganz praktisch, wenn man weiß, wie lange Firefox bereits aktiv ist. Hier hilft die Extension "Browser Uptime". Nach der Installation und dem Neustart von Firefox, steht ein neuer Menüpunkt zur Verfügung: "Extras / Browser Uptime". Hier erfährt man, wie lange die aktuelle Firefox-Session bereits dauert. Arbeitet man mit mehreren Fenstern, wird auch die Laufzeit des jeweiligen Fensters genannt. Verschiedene Tabs wird allerdings immer die Zeit des gesamten Fensters zugewiesen.

Browser Uptime, die Stoppuhr für Firefox