Yuuri schrieb:
Was hat der Kunde mit der Firma zu tun, außer dass er ein Produkt nutzt und einen Service von ihm?
Ich hoffe, die Frage ist nicht ernst gemeint; Stichwort: Stakeholder. Man vertraut einer Firma, mit der man in einem Vertragsverhältnis steht nicht nur Kontakt- und Bezahldaten an, sondern in vielen Fällen wesentlich intimere Dinge, und das meist für mehr als 10 Jahre (auf eine Aufzählung verzichte ich an dieser Stelle mal, Geschäftsmodelle gibt es ausreichend, die Speicherzeit der Nutzdaten werden bis zu einer gewissen Größe meist zu Nachweiszwecken der Abrechnungen an die der Stammdaten gebunden und die ergeben sich aus den GoSB). Wie vermag eine Firma diese Daten zu schützen, wenn sie nichtmal die Logindaten selbst beschützen kann? Hier besteht eine Abhängigkeit des Kunden, darauf zu vertrauen, dass der Vertragspartner (den man bezahlt!) sensible Daten ausreichend schützt.
Yuuri schrieb:
Ich vergaß, Kreditkartenmissbrauch ist heutzutage ja Standard, von daher ist es ja vollkommen ok.
Kreditkartenmissbrauch ist definitiv Standard und vom System geduldet. Genau wie versuchter Betrug per Lastschrifteinzug. Kein Kunde hat deswegen Schaden zu befürchten, nicht umsonst sind alle Kredikarten-herausgebenden Banken bzw. die abwickelnden Kreditkartenfirmen (und damit der Kunde) umfangreich versichert. Denn die Freiheit, die einem Kreditkarten oder das Lastschriftverfahren bieten, erkauft man sich mit geringerer Sicherheit. Doch das ist nicht das Problem, denn strafbar machen sich hierfür nur Trittbrettfahrer, und die werden sowieso erwischt, weil sie viel zu dumm sind.
Yuuri schrieb:
- Und das bringt den Kundendaten was? Meinst du der Hacker in Timbuktu schert sich darum, was Kunde x oder y passiert?
- Das hat welchen Sinn? Nachdem das Problem gefixt wurde, ist alles beim Alten.
- Sieht man aktuell ja.
- Sagst du das auch deinen Großeltern ins Gesicht? Versuch ihr mal zu erklären was ein sicheres Passwort ist und sie für jeden Service unterschiedliche nutzen soll. Die gucken dich drei mal an, drehen sich um und machen weiter. Weil es eben nicht die Aufgabe der Oma ist, ein sicheres Passwort zu wählen, sondern die Aufgabe der Firma ein sicheres System auf die Beine zu stellen.
- Es bringt Sicherheit in Zukunft, überall. Denn es ist richtig, der Hacker in Timbuktu schert sich nicht darum. Der veröffentlicht die Daten nicht, sondern verkauft sie weiter oder zieht selbst Geld ab, übernimmt Accounts, schadet damit jedem einzelnen massiv, und das im Geheimen. Die Sicherheitslücke würde nie antdeckt und würde immer und immer wieder ausgenutzt. Hier von Opferseite einen Nachweis zu führen (warum, weshalb, woher) ist nahezu unmöglich. Wie sieht es wohl aus, wenn tausende Nutzerdaten veröffentlicht werden?
- Du verstehst nicht, wie bei den meisten Unternehmen momentan die IT-Sicherheit aussieht: Sie ist abwesend. Nach einem solchen Angriff ist es nicht damit getan, die eine (und es ist immer mehr als eine) Lücke zu schließen, es geht darum, IT-Sicherheit zu einem Thema zu machen, sich dauerhaft darum zu kümmern. Danach ist eben nicht "alles beim Alten".
- Richtig, man sieht es momentan. Den meisten Unternehmen geht die Flatter und sie suchen (verzweifelt) nach IT-Sec-Leuten. Ich sehe es jeden Tag. Ein Unternehmen ist eine langsame Maschine, niemand kann innerhalb von weniger als 4 Monaten ein Projekt auf die Beine stellen, auch nur einen Teilbereich eines Netzaufrtitts sicher zu machen. Das muss schon in die Konzeption, da müssen Webentwickler geschult bzw. in Zukunft die richtigen beauftragt werden. Die Umstellung vom Status quo zu einer Sicherheitsstufe, die zumindest Skriptkiddies abhält (von professionellen oder bezahlten Hackern ganz zu schweigen) ist enorm. Dazu gehört mehr, als nur reaktiv zu handeln, dazu gehören proaktive Ansätze und Qualitätsmanagement.
- Das sag ich nicht nur meinen Großeltern ins Gesicht, ich reiche ihnen dazu auch gleich die Tools um das ohne Probleme zu ermöglichen. Von einer Empfehlung, wie man sich sichere Passwörter erstellt über den Notizblock und Post-Its bis zu Password-Managern hat man alle Möglichkeiten. Und ja, es ist in der Regel tatsächlich sicherer, ein Passwort per Post-It zu Hause an den Monitor zu heften, als es im Browser speichern zu lassen, oder noch schlimmer; immer das gleiche zu benutzen. Kein System ist sicher, die Kette ist stets nur so stark wie das schächste Glied. Ist das schwächste Glied ein Forum, dessen Betreiber mangels Wissen Passwörter unverschlüsselt speichert und selten Sicherheitspatches einspielt (wer kann es ihm verdenken, es ist schließlich "nur" ein Forum um Kochtipps auszutauschen), liegt dann die Schuld alleine bei ihm, bei deiner Bank, bei der du die gleiche Benutzername/Passwort-Kombination benutzt wie sonst auch immer, oder liegt sie etwa an dir, weil du eben jene immer überall benutzt?
RaiseHell schrieb:
[inhaltleeres Blabla gekürzt]
PS: Kein einziger ihrer sogenannten "Hacks" lässt darauf schließen, dass es sich hier wirklich um Leute "vom Fach" handelt. DDoS-Attacken auf Websites mitels Bot-Netzen oder 08/15-Sicherheitslücken à la SQL Injection sind nun wirklich nichts, das diese Gruppierung in irgendeiner Weise handwerklich auszeichnen würde. Ganz im Gegenteil: primitiv, wie auch ihre Beweggründe.
Na umso schlimmer. Sie schaffen es durch "08/15-Sicherheitslücken à la SQL Injection" auf dutzenden von Seiten Benutzerdaten und mehr auszulesen. Und dann wird auf die "Hacker" geschimpft? Stellt deine Bank einen Kopierer auf dem Marktplatz auf, in dem deine Kontodaten inklusive PIN und TAN liegen? Beschuldigt sie dann den Redakteur, der ein Bild aller dort stehenden Kopierer inklusive der Daten macht und dieses in der Zeitung veröffentlicht, er sei der böse? Wieso sollte eine Firma denn so etwas machen dürfen? Zugegeben, der Kopierer ist nicht geschützt, aber wir machen es so: Wir stecken den Kopierer in einen Glaskasten und lassen in diesem nur ein Loch, damit man mit einem kleinen Stock den Kopierknopf betätigen kann, das ist dann die "08/15-Sicherheitslücken à la SQL Injection".
Wo ich dir teilweise recht gebe, ist bei Aktionen wie dem Pornoforum. Andererseits sollte man sich als Benutzer auch überlegen, ob man Daten angibt, die eine Verknüpfung zulassen, wenn man unter aller Umständen eine Verknüpfung verhindern will. Denn wie oben erwähnt: Ein Forum ist keine Firma, mit der man ein Vertragsverhältnis aufbaut. Will ich mich anonym bewegen, dann sollte ich nunmal auch alles tun, um mich anonym zu bewegen. Willst du nicht, dass deine Frau erfährt, dass du im Sexshop einen Dildo für deine Geliebte kaufst, dann ist es gut, versuchen nicht gesehen zu werden. Es ist aber dumm, mit der gemeinsamen EC-Karte zu bezahlen (analog gleiche E-Mail-Adresse im Pornoforum und bei Facebook).
und dazu kommt ja noch das geilste : sie werden dafür bezahlt xD
