nrw-kreis-recklinghausen AT lists.piratenpartei.de
Betreff: Mailingliste zur Koordination der Kreis Recklinghausen Piraten
Listenarchiv
- From: Stefan Nohn <stefan.nohn AT buchvertrieb-nohn.de>
- To: Mailingliste zur Koordination der Kreis Recklinghausen Piraten <nrw-kreis-recklinghausen AT lists.piratenpartei.de>
- Subject: [Kreis-RE] Fwd: [Piraten Herne] Ein paar Gedanken zu der BSI Aktion...
- Date: Thu, 23 Jan 2014 21:10:57 +0100
- List-archive: <https://service.piratenpartei.de/pipermail/nrw-kreis-recklinghausen>
- List-id: Mailingliste zur Koordination der Kreis Recklinghausen Piraten <nrw-kreis-recklinghausen.lists.piratenpartei.de>
Ein paar interessante Gedanken zum Thema. -------- Original-Nachricht -------- Betreff: [Piraten Herne] Ein paar Gedanken zu der BSI Aktion... Datum: Thu, 23 Jan 2014 11:55:28 +0100 Von: Sebastian Fedrau <sebastian.fedrau AT gmail.com> An: nrw-herne AT lists.piratenpartei.de <nrw-herne AT lists.piratenpartei.de> -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Hallo zusammen, gestern beim Stammtisch wurde das Thema BSI und die gestohlenen 16 Millionen E-Mail/Passwort Datensätze (leider nur) nebenbei angesprochen und ich wollte mal einfach meinen Senf dazu geben. Für alle die nicht wissen worum es geht: http://www.heise.de/security/meldung/BSI-Mehrere-Millionen-Internet-Konten-durch-Botnetze-geknackt-2090167.html Ich finde die komplette Angelegenheit schwierig zu bewerten, weil sich das BSI sehr zurückhaltend gibt und man bisher nicht genau weiß, was für Daten genau betroffen sind und wo diese herkommen. Die Aktion hat für mich einen faden Beigeschmack und ich weiß selber noch nicht, wie ich das alles einordnen und bewerten soll. Angesichts der Snowden-Veröffentlichungen oder Fällen wie dem Bundestrojaner (erinnert sich daran noch jemand?) sollte Argwohn das Mindeste sein, was man gegenüber den Behörden pflegen sollte. Ich habe mit der Aktion solche Probleme, weil sie für mich aus technischer Sicht kaum einen Sinn ergibt. Dem BSI ist eine Zuordnung von E-Mailadressen und Passwörtern bekannt. Daraus ergeben sich zwei potentielle Gefahren für euer Postfach: 1. Dem BSI (und damit den Kriminellen) ist eure E-Mailadresse und das Passwort zu eurem Postfach bekannt. 2. Die Kombination E-Mail/Postfach wurde in einem sozialen Netzwerk oder Forum abgegriffen. Solltet ihr dort dasselbe Passwort wie bei eurem E-Mailprovider verwenden, gilt automatisch Punkt 1. Aber ihr nutzt bestimmt überall unterschiedliche Passwörter, woll? :P Wenn jemand das Passwort zu eurem Postfach hat ist es kompromittiert. Das BSI sendet euch eine E-Mail, falls ihr betroffen seid... Moment mal... welchen Sinn macht das, wenn euer Postfach kompromittiert ist? Genau, gar keinen! Jemand könnte die E-Mail einfach löschen, bevor sie bei euch ankommt. Wenn ihr unter den genannten Bedingungen betroffen seid (das werden viele Bürger sein), ist dieser Mechanismus also per Definition nutzlos. Wäre es alternativ nicht besser gewesen, eine Antwort auf der Webseite anzuzeigen, anstatt eine E-Mail zu verschicken? E-Mails können außerdem aus 1000 und mehr Gründen verloren gehen, weshalb es idiotisch ist, *keine* E-Mail zu verschicken, wenn jemand *nicht* betroffen ist. Das System hat in dieser Hinsicht keinerlei Aussagekraft. Ferner war die Rede von Rechnern mit installierter Schadsoftware. Mal ehrlich: wäre es nicht schizophren, auf einem infizierten Rechner noch mehr E-Mailadressen in einen Browser einzugeben? Ein ganz anderes Problem: nehmen wir an, jemand hat fünf E-Mailadressen, wovon aber nur eine in der entsprechenden Liste existent ist. Gebt ihr hintereinander alle fünf Adressen in das Formular ein, werden diese Adressen miteinander verknüpft (z.B. über eure IP Adresse, einen Session-Cookie, einen Browser-Fingerprint oder *tragt hier irgendetwas ein*). Ich weiß nicht warum ihr eventuell mehrere Adressen habt, ich möchte sie jedenfalls nicht alle verknüpft wissen. Vor allem nicht von einer Behörde. Aber eine Behörde würde ja niemals Metadaten persistent speichern... ach, da war ja mal was: http://www.golem.de/0711/56193.html Ich will hier nicht behaupten, dass die Einrichtung der BSI-Seite einer fiesen Intention gefolgt ist, aber der Mechanismus ist in seinem Konzept einfach nur blöde und ein Vertrauen gegenüber der Behörde ist definitiv nicht angebracht. Vertraut niemanden und lasst euch nicht bekloppt machen. Wenn ihr Angst habt das ein Benutzerkonto kompromittiert worden ist, nutzt bitte einen sauberen Rechner und ändert eure Passwörter - gut ist. Lieben Gruß, Sebastian -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.19 (MingW32) iQIcBAEBAgAGBQJS4PUgAAoJEM9Ic1Synf0YEXIP/1cUiaH0EE1HtSuDkTAzk5sk iKHiahCJyQLaaTJ8zxkM0ll4OL+TTlrgFWoHWaKrabx7kmsM95QdaYULKnoJRc/4 U2yUD8fCbsiuXmZ6MFezFrSeHY25tNIJeYJH6nRonYwcOlBUyP+YqKu0MLOX7HUK S/JorYxE6pd0Re2zlMgYH0A96/EAYhIUQSvipySu4bSyV9ro0Eg9bAoxXxKQrn0i doqwuSPnwEEVsisgWoa7l9cjERNn9hXj4JzDiALPT1kwvQ9/QnLlIgKjZVrugvyJ 7HX7124o9OXzYUyQKt5aXxW0MbDJOzPKLt5gzQ6iHGYmomddDRBWQftX/acmzZ9x wptEgWsh5cxJ50L5P+uGpla4CsuRPO0tJUx7IhsgnUfL9kV/Rgum2BEK2lfCwkSQ swSYYCVj3t9zdN6shCggceiPNX8SPs9GZsfPJlrQmw4X1Ex848HaspyvnQ85ky2N 96UvrgsQIM70GO9444+WY+ZPUa8/1mtBJBdw45g2tNTmk7A3SoCBMlPsLHcs8gKy JYe8Rn3rO6/UR4NLaXsVA6nTdYN7r0qV8Z21CzzIehI2ivsH+9ZdiC0yVvaVJGv3 boinYOwmnC0+ppItuB6J7WEh0rgZ57oC+DbAYjYS8G/XzO6qrCk/MaaqKXXIAN9j 50j2YNGS1KdR4fZ4YlRi =B8Nl -----END PGP SIGNATURE----- |
- [Kreis-RE] Fwd: [Piraten Herne] Ein paar Gedanken zu der BSI Aktion..., Stefan Nohn, 23.01.2014
Archiv bereitgestellt durch MHonArc 2.6.19.