ARD: Robin Hood ist auf die Nase gefallen

Liebe Frau Engelke, ich möchte mit diesem Beitrag auf Ihren Kommentar "Anonymous - Robin Hood ist auf die Nase gefallen..." reagieren. Es scheint mir, als ob Sie mit Ihrem Kommentar versuchen, das Kollektiv "Anonymous" bezüglich seiner Aktionen in Frage zu stellen. Zudem macht es den Anschein, als würde man versuchen, die Verantwortlichen (Stratfor) in Schutz nehmen. Ich gehe davon aus, dass es in Ordnung ist, Sie an dieser Stelle zu zitieren. ...

Sie schreiben:

"Bei dieser Hacker-Attacke stehen beide Seiten dumm da. Stratfor, das Unternehmen mit Sitz in Austin, Texas, dessen Kundendaten veröffentlicht wurden. Und "Anonymous" - die lose Vereinigung von Hackern, die die Kundendaten von Stratfor ins weltweite Netz geblasen hat. Für Stratfor ist es vor allem peinlich, dass es die Daten seiner Kunden nicht verschlüsselt hat. Möglicherweise um Geld zu sparen."

Zunächst möchte ich anmerken, dass bei dieser Angelegenheit 3 Seiten dumm da stehen. Die Betreiber, die Ihre Kompetenz in Sachen IT-Sicherheit mit diesem Vorfall sicherlich nicht unterstreichen können, Anonymous - die Hacktivisten, welche mit Ihrer Aktion einen falschen Schritt getan haben und - liebe Frau Engelke - was die meisten Journalisten aus Quotenblindheit in der Regel vergessen, die Kunden, deren Kreditkartendaten nun veröffentlicht wurden. Ja, man könnte durchaus auch einmal die Kunden erwähnen. Das sind nämlich in der Regel die einzigen Leute, die wirklich dumm da stehen. Es sind Leute, die Vertrauen in ein Unternehmen setzen, welches sich herzlich wenig um die Sicherheit der Kunden macht. Die Tatsache, dass Daten über Kreditkarten, im Klartext gespeichert wurden, unterstreicht diese Fahrlässigkeit.

Die Aussage "Möglicherweise um Geld zu sparen." ist purer Schwachsinn und zeigt mir im Prinzip nur, dass Sie keinen Schimmer von der Materie und sich höchstwahrscheinlich auch nicht wirklich mit dem Thema befasst haben. Um sensible Informationen, verschlüsselt in einer Datenbank abzuspeichern, bedarf es im Prinzip keiner großen, finanziellen Investition. Es genügen bereits vorliegende Funktionen und auch das Nutzen kostenfreier/quelloffener Software sollte kein Problem sein. Wäre das Verschlüsseln von Informationen in einer Datenbank so wahnsinnig teuer, dass sich ein Unternehmen mit Millionen Kunden dies nicht leisten kann, dann frage ich mich, wie dies für den "kleinen Mann" kein Problem sein kann. Selbst die einfachste Webanwendung speichert Kreditkarten-Informationen verschlüsselt in der Datenbank ab - wenn überhaupt. Die Sicherheit der eigenen Kunden als Frage des Geldes darzustellen - gerade für ein Unternehmen dieser Größe - ist absolut nicht nachvollziehbar. Meist ist es eher ein Problem der Betreiber, die eher wenig Sicherheitsbewusstsein aufbringen und auch Hinweise von Außen einfach ignorieren. Man reagiert erst dann, wenn der heftige Knall bereits zu hören war und eigentlich jede Reaktion zu spät kommt. Beispiele finden Sie allein hier im Blog schon zu genüge. Dazu brauche ich eigentlich nicht viel schreiben.

"Die Kunden aber sind der Grund, warum Stratfor für die Anonymous-Hacker interessant war. Denn schaut man sich die bisher geheim gehaltene Kundenliste von Stratfor an, dann sind dort vermeintlich "böse" Organisationen zu finden: das Pentagon, Rüstungsfirmen, Öl-Giganten, der Saatgut-Riese Monsanto, Versicherungen und Banken."

Ich frage mich, wie Sie zu dieser Aussage kommen. Haben Sie die bösen Hacker bei einer Tasse Tee nach den Beweggründen gefragt? Ich denke nicht. Zudem wäre es interessant zu erfahren, woher Sie die Kundenliste kennen. Haben Sie etwa illegal beschaffte Informationen für Ihre Recherche benutzt und in Datensätzen gewühlt, die Sie eigentlich nie zu Gesicht bekommen sollten? Ich zitiere einmal aus Wikipedia: "Das uneingeschränkte Lesen der illegal beschafften Daten erfüllt den Tatbestand des § 202a." (Link) Was das "...die bisher geheim gehaltene Kundenliste..." angeht, kann ich eigentlich nur noch den Kopf schütteln. Ist es nicht normal, dass ein Unternehmen die eigenen Kunden mit Diskretion behandelt bzw. Kundenlisten geheim hält? Sicher wäre das Gegenteil für viele kranke Köpfe da draußen optimal.

"Aber auch Ärzte ohne Grenzen, mehr als 20 Universitäten, das deutsche Nachrichtenmagazin "Der Spiegel" und die Vereinten Nationen. Das macht klar: das Gut-Böse-Schema von Anonymous funktioniert nicht. Die Welt ist nicht so schwarz-weiß, wie das der lose Hackerverbund gerne hätte."

Wer sagt mir denn, dass so manche Universität, Nachrichtenmagazine und die vereinten Nationen, keine Leichen im Keller haben? Abgesehen davon, funktioniert das "Gut-Böse-Schema" sehr wohl. Wäre denn sonst nicht auch das Gesetz, die Strafverfolgung und verbundene Verurteilungen völlig überflüssig. Die Polizei verfolgt Verbrecher, weil Sie gegen Gesetze verstoßen haben. Der Gedanke von Anonymous - so wie ich ihn interpretiere - ist ja im Prinzip nicht anders. Nur mit dem Unterschied, dass das Kollektiv selbst den Dreck an den Pranger stellt, der von den Behörden und ganz besonders den Medien, in der Regel gedeckt wird. Sicher kann man darüber streiten, was die eine oder andere Aktion/Operation betrifft. Ich persönlich bin ja grundsätzlich gegen das Veröffentlichen von Kundendaten und spreche dies auch immer wieder offen in meinen Berichten aus. Sicher war auch die Aktion bei Stratfor nicht optimal, jedoch sollte man nicht die Bewegung "Anonymous" an sich in Frage stellen, nur weil man den grundsätzlichen Sinn nicht erkannt hat.

"Und ich füge noch hinzu: Deswegen darf jeder dahergelaufene Hacker die Kreditkarten-Informationen aus der Stratfor-Kundendatei nehmen und von diesen Konten Spenden an wohltätige Organisationen anweisen?"

Und ich füge noch hinzu: Deswegen darf jede/r dahergelaufene Korrespondent/in die Liste mit den Kreditkarten- und Kundeninformationen aus dem Stratfor-Leak nehmen und lesen, um willkürlich und ohne Fachwissen einen Bericht/Kommentar darüber zu schreiben?

"Es ist Diebstahl. Und es ist schlicht blöd. Denn diejenigen, die von "Anonymous" zum Spenden gezwungen wurden, können sich ihr Geld zurückholen, ..."

Da kann ich Ihnen natürlich nur Zustimmung aussprechen.

"Zwar ist Stratfor von vornherein nachlässig mit seinen Kundendaten umgegangen, aber wir wissen von anderen Hacker-Einbrüchen, dass der Schutz von Daten und Informationen im Netz extrem schwierig ist. Das ist die eigentliche Herausforderung für Regierungen und Unternehmen jetzt und im kommenden Jahr."

Sooo...wahnsinnig schwierig ist es im Prinzip nicht. Wenn ich große Datensätze mehrfach verschlüsselt in meiner Datenbank ablege, dann vergeht selbst dem motiviertesten Kiddies irgendwann die Lust. Sicher, es gibt kein System das absolut 100%igen Schutz bietet. Man kann aber mit wenig Aufwand bereits für sehr gute Verhältnisse sorgen. Abgesehen davon, sollte man nicht immer nur die Technik für Probleme verantwortlich machen. Das größte Problem bzw. die größte Sicherheitslücke ist in der Regel der Mensch. Vorallem der Betreiber/Dienstleister/Anbieter, welcher selbst höchst kritische Sicherheitslücken einfach ignoriert. Ich möchte hierzu einfach mal die EU-Kommission in den Raum stellen. Wer ein dermaßen löchriges System hat und selbst auf mehrmalige Hinweise nicht bzw. erst Wochen oder Monate später reagiert, braucht sich über einen digitalen Einbruch nicht zu wundern. BTW: Auch die ARD ist kein Unschuldslamm. Selbst die einfachsten Schwachstellen wurden erst beseitigt, als Hinweise von Außen kamen.

Nachtrag 30.12.2011:
Ein wenig schmunzeln muss ich ja schon, wenn ich ehrlich bin. Zunächst die Tatsache, dass die ÖR-Medien immer mehr in die Schublade zu RTL & Co. passen, da die eigentlich wichtige Berichterstattung, die zumindest bei den ÖR rein auf Fakten beruhen sollte, immer mehr in Richtung Meinungsbildung und taktische Manipulation der Zuschauer führt. Speziell was den Kommentar über den Hack bei Stratfor angeht, konnte ich mir gerade ein Lächeln nicht verkneifen. Ich kenne nämlich noch eine 4. Seite, die nun dumm da steht. Denn selbst nachdem erst vor kurzer Zeit diverse Schwachstellen bei verschiedenen Portalen wie der ARD, SWR und WDR gemeldet wurden, hat man es offenbar nicht für nötig gehalten, auch einmal genauer nachzusehen, ob da vielleicht noch weitere Problemstellen vorhanden sind. Offensichtlich wurde das Internetportal der ARD nach den Hinweisen zu aufgedeckten Schwachstellen, nicht auf weitere Sicherheitslücken überprüft. Ein Fehler, wie sich nun herausstellt.

In weniger als 3 Minuten konnte ich eine weitere Schwachstelle ausfindig machen, die zum Einschleusen externer Dateien, sowie schädlichem Code dienen könnte. Ein Angreifer könnte diese Schwachstelle ausnutzen, um gezielt Phishing-Attacken durchzuführen oder Malware zu streuen.