[Kreis-RE] Fwd: [Piraten Herne] Ein paar Gedanken zu der BSI Aktion...

[Stefan Nohn <stefan.nohn AT buchvertrieb-nohn.de>]

Ein paar interessante Gedanken zum Thema.

-------- Original-Nachricht -------- Betreff: [Piraten Herne] Ein paar Gedanken zu der BSI Aktion... Datum: Thu, 23 Jan 2014 11:55:28 +0100 Von: Sebastian Fedrau <sebastian.fedrau AT gmail.com> An: nrw-herne AT lists.piratenpartei.de <nrw-herne AT lists.piratenpartei.de>

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Hallo zusammen,

gestern beim Stammtisch wurde das Thema BSI und die gestohlenen 16
Millionen E-Mail/Passwort Datensätze (leider nur) nebenbei
angesprochen und ich wollte mal einfach meinen Senf dazu geben. Für
alle die nicht wissen worum es geht:

http://www.heise.de/security/meldung/BSI-Mehrere-Millionen-Internet-Konten-durch-Botnetze-geknackt-2090167.html

Ich finde die komplette Angelegenheit schwierig zu bewerten, weil sich
das BSI sehr zurückhaltend gibt und man bisher nicht genau weiß, was
für Daten genau betroffen sind und wo diese herkommen. Die Aktion hat
für mich einen faden Beigeschmack und ich weiß selber noch nicht, wie
ich das alles einordnen und bewerten soll. Angesichts der
Snowden-Veröffentlichungen oder Fällen wie dem Bundestrojaner
(erinnert sich daran noch jemand?) sollte Argwohn das Mindeste sein,
was man gegenüber den Behörden pflegen sollte.

Ich habe mit der Aktion solche Probleme, weil sie für mich aus
technischer Sicht kaum einen Sinn ergibt.

Dem BSI ist eine Zuordnung von E-Mailadressen und Passwörtern bekannt.
Daraus ergeben sich zwei potentielle Gefahren für euer Postfach:

1. Dem BSI (und damit den Kriminellen) ist eure E-Mailadresse und das
Passwort zu eurem Postfach bekannt.

2. Die Kombination E-Mail/Postfach wurde in einem sozialen Netzwerk
oder Forum abgegriffen. Solltet ihr dort dasselbe Passwort wie bei
eurem E-Mailprovider verwenden, gilt automatisch Punkt 1. Aber ihr
nutzt bestimmt überall unterschiedliche Passwörter, woll? :P

Wenn jemand das Passwort zu eurem Postfach hat ist es kompromittiert.
Das BSI sendet euch eine E-Mail, falls ihr betroffen seid... Moment
mal... welchen Sinn macht das, wenn euer Postfach kompromittiert ist?
Genau, gar keinen! Jemand könnte die E-Mail einfach löschen, bevor sie
bei euch ankommt.

Wenn ihr unter den genannten Bedingungen betroffen seid (das werden
viele Bürger sein), ist dieser Mechanismus also per Definition
nutzlos. Wäre es alternativ nicht besser gewesen, eine Antwort auf der
Webseite anzuzeigen, anstatt eine E-Mail zu verschicken?

E-Mails können außerdem aus 1000 und mehr Gründen verloren gehen,
weshalb es idiotisch ist, *keine* E-Mail zu verschicken, wenn jemand
*nicht* betroffen ist. Das System hat in dieser Hinsicht keinerlei
Aussagekraft.

Ferner war die Rede von Rechnern mit installierter Schadsoftware. Mal
ehrlich: wäre es nicht schizophren, auf einem infizierten Rechner noch
mehr E-Mailadressen in einen Browser einzugeben?

Ein ganz anderes Problem: nehmen wir an, jemand hat fünf
E-Mailadressen, wovon aber nur eine in der entsprechenden Liste
existent ist. Gebt ihr hintereinander alle fünf Adressen in das
Formular ein, werden diese Adressen miteinander verknüpft (z.B. über
eure IP Adresse, einen Session-Cookie, einen Browser-Fingerprint oder
*tragt hier irgendetwas ein*). Ich weiß nicht warum ihr eventuell
mehrere Adressen habt, ich möchte sie jedenfalls nicht alle verknüpft
wissen. Vor allem nicht von einer Behörde. Aber eine Behörde würde ja
niemals Metadaten persistent speichern... ach, da war ja mal was:
http://www.golem.de/0711/56193.html

Ich will hier nicht behaupten, dass die Einrichtung der BSI-Seite
einer fiesen Intention gefolgt ist, aber der Mechanismus ist in seinem
Konzept einfach nur blöde und ein Vertrauen gegenüber der Behörde ist
definitiv nicht angebracht. Vertraut niemanden und lasst euch nicht
bekloppt machen. Wenn ihr Angst habt das ein Benutzerkonto
kompromittiert worden ist, nutzt bitte einen sauberen Rechner und
ändert eure Passwörter - gut ist.


Lieben Gruß,

Sebastian
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v2.0.19 (MingW32)

iQIcBAEBAgAGBQJS4PUgAAoJEM9Ic1Synf0YEXIP/1cUiaH0EE1HtSuDkTAzk5sk
iKHiahCJyQLaaTJ8zxkM0ll4OL+TTlrgFWoHWaKrabx7kmsM95QdaYULKnoJRc/4
U2yUD8fCbsiuXmZ6MFezFrSeHY25tNIJeYJH6nRonYwcOlBUyP+YqKu0MLOX7HUK
S/JorYxE6pd0Re2zlMgYH0A96/EAYhIUQSvipySu4bSyV9ro0Eg9bAoxXxKQrn0i
doqwuSPnwEEVsisgWoa7l9cjERNn9hXj4JzDiALPT1kwvQ9/QnLlIgKjZVrugvyJ
7HX7124o9OXzYUyQKt5aXxW0MbDJOzPKLt5gzQ6iHGYmomddDRBWQftX/acmzZ9x
wptEgWsh5cxJ50L5P+uGpla4CsuRPO0tJUx7IhsgnUfL9kV/Rgum2BEK2lfCwkSQ
swSYYCVj3t9zdN6shCggceiPNX8SPs9GZsfPJlrQmw4X1Ex848HaspyvnQ85ky2N
96UvrgsQIM70GO9444+WY+ZPUa8/1mtBJBdw45g2tNTmk7A3SoCBMlPsLHcs8gKy
JYe8Rn3rO6/UR4NLaXsVA6nTdYN7r0qV8Z21CzzIehI2ivsH+9ZdiC0yVvaVJGv3
boinYOwmnC0+ppItuB6J7WEh0rgZ57oC+DbAYjYS8G/XzO6qrCk/MaaqKXXIAN9j
50j2YNGS1KdR4fZ4YlRi
=B8Nl
-----END PGP SIGNATURE-----