sicherheit

Vorbildliche Stadtpolizei Zürich

Wow! Der Stadtpolizei Zürich werden via Twitter Mängel an einer Baustelle gemeldet. Konkret ging es darum, dass die Baustelle für Fussgänger nicht sicher war; dies an einer Stelle, an der offenbar oft Kindergärtler vorbeigehen. Nach einer kurzen Rückfrage ebenfalls auf Twitter am gleichen Tag sind die Mängel zwei Tage später behoben.

So effizient können soziale Medien sein, wenn sie auch von Amtsstellen genutzt werden.

Gratis? Von wegen.

Wer noch immer dem Irrtum aufliegt, Dienste wie Google oder Facebook seien gratis zu haben, dem sei dieses Video, auf das ich gestern über den Twitter-Kanal von Kim Dotcom gestossen bin, wärmstens empfohlen:

Und da wir auch namhaften Unternehmen wie Yahoo nicht trauen dürfen, unsere Bedürfnisse und Rechte ernst zu nehmen, dienen die von der Werbeindustrie verpönten AdBlocker nicht nur dazu, lästige Werbung auszublenden, sondern erhöhen, sozusagen als sehr erwünschter Nebeneffekt, gleichzeitig auch unseren Schutz vor Datenklau und unsere Computersicherheit.

Darum meint auch Matthias Leisi völlig zu Recht:

 

Weshalb das Aufbrechen von HTTPS-Verbindungen durch die Swisscom problematisch ist

Via Martin Steiger bin ich auf dieses Dokument (PDF-Download) des Informatikers Rainer Meier gestossen, in welchem in einfacher Sprache erklärt wird, wie Swisscom via die Firma ZScaler verschlüsselten Datenverkehr innerhalb des Schulnetzes aufknackt und warum dies problematisch ist.

Unter anderem erklärt Rainer Meier:

«Solche Angriffe werden üblicherweise von dritten vorgenommen, um an die übermittelten Daten zu gelangen, und sind illegal. Aber auch Firmen setzen solche Systeme ein um die verschlüsselten Daten vom und zum Internet analysieren zu können. Die Betroffenen müssen hier aber informiert werden und üblicherweise dem Einsatz solcher Systeme zustimmen (meistens über Mitarbeiter-Vereinbarungen geregelt). Da ein solches System die Privatsphäre sowie Sicherheit der übertragenen Daten gefährdet, sollten sich die Mitarbeiter bewusst sein, dass ihre Daten dadurch von dritten gelesen werden können.» [Hervorhebung durch iScoutblog]

 Die entsprechende Information der Mitarbeiter (sprich Lehrpersonen, Schulleiter u.a.) ist im Fall Swisscom/ZScaler definitiv nicht ausreichend erfolgt. Ich habe jedenfalls in keiner Weise meine Zustimmung dazu gegeben noch irgend eine entsprechende Mitarbeiter-Vereinbarung unterzeichnen müssen, und ich weiss auch von keiner Schule, in der so etwas erfolgt wäre.

Des weiteren mahnt Rainer Meier, skeptisch zu bleiben:

 Wer seiner Firma hier voll vertraut sollte trotzdem skeptisch sein, denn durch die aufgebrochene Verschlüsselung ist es für den Benutzer auch unmöglich, weitere Manipulationen zu erkennen. Beispielsweise wenn die Firmen-Systeme ebenfalls von dritten manipuliert wurden oder die Firma selbst Opfer seines solchen MITM-Angriffs wurde:

Bild: Rainer Meier

Bild: Rainer Meier

Bildung Schweiz über Swisscom und das Aushebeln von SSL-Verschlüsselungen

Der Dachverband Lehrerinnen und Lehrer Schweiz LCH widmet sich in seiner aktuellen Ausgabe seines Publikationsorgans Bildung Schweiz auf einer Seite dem Thema Aufknacken der SSL-Verschlüsselung durch Swisscom an Schweizer Schulen. Im Artikel darf auch ich freundlicherweise ein paar Worte zum Thema sagen.

Filtern ja – aber wie? | Bildung Schweiz 02|2014

Im Artikel werden die nicht nur meiner Ansicht nach problematischen Aspekte dieses Vorgehens der Swisscom angesprochen. Doch sind meine Hoffnungen, dass die Praxis der Swisscom letztlich durch die Kantone (denn auf dieser Ebene muss es geschehen) unterbunden wird, recht begrenzt. Die meisten Leute, die ich kenne, fühlen sich nicht betroffen, obwohl sie es oftmals sind – insbesondere wenn sie Google-Dienste wie Gmail benutzen oder gar mit ihren persönlichen Geräten innerhalb des Netzes von SAI arbeiten. Es ist anzunehmen, dass auch viele die Problematik nicht verstehen, und die kompetenten Leute auf der Entscheidungsebene finden das Thema offenbar zu wenig wichtig.

Als löbliche Ausnahme ist, wie bereits in einem früheren Blogpost erwähnt, der Kanton Basel Stadt: «Aktuell stellt für uns das Aufbrechen einer https-Verbindung ein No-Go dar», wird Thomas Grossenbacher, Co-Leiter der Fachstelle ICT und Medien des Erziehungsdepartements Basel Stadt, im Bildung-Schweiz-Artikel zitiert. Und weiter: «Deshalb haben wir unsere DNS-Server so konfiguriert, dass alle Google-Suchanfragen von https- auf das http-Protokoll umgeleitet werden. So funktioniert die bestehende Filterung der Swisscom, das ZScaler-Zertifikat ist hinfällig.»

Eine Lösung, welche keine SSL-Verschlüsselungen aushebelt, ist also problemlos möglich. Man muss sie nur umsetzen wollen.

Google stellt entsprechende Lösungen zur Verfügung. Umso mehr ist es mir unverständlich, weshalb Swisscom diesen Weg wählt und die allermeisten Kantone dies widerspruchslos dulden.

Der LCH-Artikel ist sehr sachlich geschrieben und um formelle Neutralität bemüht. Für sich alleine wird er leider nichts bewirken. Wünschenswert wäre aus meiner Sicht eine klare Stellungnahme mit entsprechenden Forderungen seitens von LCH an Swisscom und die Kantone und den kantonalen Lehrerverbänden (in meinem Fall wäre das Bildung Thurgau).

Die Krux mit den Passwörtern

Darf ich jetzt das folgende Bild posten, obwohl es unanständige Wörter enthält und ich meinen Blog als „jugendfrei“ deklariert habe? Ich riskiers: 😉

BewAi4sIUAEN0pvDieses Bild ist mir kürzlich irgendwo auf Twitter begegnet, und es bringt ein Problem an den Tag, mit dem wir uns alle immer wieder rumschlagen. Es kursieren viele Tricks und Vorschläge, wie sich einigermassen sichere Passwörter generieren lassen, die man sich hoffentlich auch noch merken kann – eine Patentlösung gibt es nicht. Es ist letztlich immer ein Abwägen zwischen Sicherheit und Praxistauglichkeit.

Selber halte ich es mit den Passwörtern so:

  • Ich benutze 1Password. Ein extrem hilfreiches Tool, mit dem ich stets all meine Passwörter einigermassen sicher und stets zuverlässig zur Hand habe. Es ist nicht ganz billig, doch habe ich den Kauf noch nie bereut. Es gibt Freeware-Alternativen wie KeePass oder LastPass, die ich aber selber nicht ausprobiert habe.

Bei der Wahl der Passwörter halte ich es pragmatisch. Ich unterscheide zwischen unwichtigen, wichtigen und sehr wichtigen Logins:

  • Unwichtige Logins sind solche, bei denen ich nichts von mir preisgebe und die ich oft anonym oder mit Fakenamen verwende. Dies ist z.B. bei Diensten wie Supportforen der Fall, bei denen ich gar kein eigenes Login will, die aber eins erfordern, wenn man z.B. einen Anhang zu einem Beitrag runterladen möchte. Auch Angebote wie Cineman zählen für mich zu den unwichtigen Logins. Da erlaube ich mir durchaus auch Passwörter wie 123456 (sofern vom Anbieter überhaupt akzeptiert) weil ich mir diese leicht merken kann und es mir völlig egal ist, wenn jemand sich zu diesen Logins Zugang verschafft.
  • Wichtige Logins: Dazu gehören Social Networks, also Twitter oder Tumblr (auch Facebook, dessen Account ich seit geraumer Zeit deaktiviert habe), mein Ricardo-Account und alle Konten, bei denen ich einkaufe. Auch das WordPress-Konto, mit dem ich diesen Blog schreibe, gehört dazu. Da wäre es mir nun wirklich nicht mehr egal, wenn sich jemand Fremder unter meinem Namen einloggen könnte. Hier benutze ich Passwörter, die nach heutigem Standard als sicher gelten (also mehr als 8 Zeichen, Gross- und Kleinbuchstaben, auch Sonderzeichen). Sie sind sich untereinander auch schon mal ähnlich oder sogar gleich.
  • Sehr wichtige Logins habe ich bewusst ganz wenige. Dazu zählt in erster Linie mein E-Mail-Account, aber z.B. auch mein Dropbox-Zugang. Hier habe ich für jedes Konto ein Passwort, das sich von allen anderen Passwörtern komplett unterscheidet.

Auch wenn ich in Schulhausteams bei jeder Gelegenheit sage, wie wichtig es ist, mindestens den Mailaccount mit einem wirklich sicheren Passwort zu versehen, erlebe ich es immer wieder, wie mir Kolleginnen – obwohl ich nie nach privaten Passwörtern frage! – mir bei privaten Support-Diensten bereitwillig und ungefragt ihr Mail-Passwort mitteilen, das dann oft auch noch so lautet wie z.B. der Vorname des Ehemannes. Oder ich kriege private Laptops in die Hand gedrückt, die mit keinem Benutzerpasswort versehen sind und ohne Anmeldepasswort direkt in den User-Account starten, wo sich dank im Browser gespeicherten Passwörtern auch problemlos das Web-Interface des privaten Mailaccounts öffnen lässt.

Peinlich, wenn der Chef so eine Mail erhält

Wer jedoch schon mal im Freundeskreis erlebt hat, was passiert, wenn sich Kriminelle Zugang zum privaten Mailaccount verschaffen, wünscht sich das niemandem – nicht sich selbst und vor allem auch nicht seinem eigenen Bekanntenkreis inklusive Freunden und Vorgesetzten. Nicht nur, dass sich jemand mit E-Mail-Zugang in der Regel fast alle übrigen Logins einfach rausfischen kann (wenn es sich um die Mailadresse handelt, die bei der Anmeldung bei den betreffenden Konten hinterlegt wurde), vom eigenen Mailacount werden dann auch noch ans ganze Adressbuch Mails verschickt wie

„Hallo Vorname – ich bin in London und mir ist das ganze Gepäck gestohlen worden, inklusiv Brieftasche und Reisepass. Kannst du mir bitte aushelfen?! Zahle bitte möglichst bald 1000 Fr. auf Konto Nr. xx.xxxxxx.xx ein. Ich werde dir das Geld ganz sicher wieder zurückzahlen – Vielen Dank und liebe Grüsse Vorname und Name des Mailkontoinhabers inkl. Signatur mit vollständiger Privatadresse

Peinlich, wenn der Chef von mir so ein Mail kriegt? Würde ich auch meinen. Schon gar nicht zu reden davon, wenn jemand das Geld wirklich eingezahlt hat und es nun wieder zurückfordert. Ein solches Szenario ist keineswegs unwahrscheinlich.

Mit wenig Aufwand ein vernünftiges Mass an Sicherheit

Man kanns nicht oft genug sagen: Zumindest für die eigene Mailadresse ist ein sicheres Passwort zwingend nötig, und wers wirklich sicher haben will, sollte auch eine Zwei-Schritt-Verifizierung in Erwägung ziehen. Und PCs oder sogar Laptops, die ohne Passwort direkt ins Benutzerkonto aufstarten, sind ein No-Go.

Und wissen muss man auch: Es wäre seit Edward Snowdens Enthüllungen vermessen, von hundertprozentiger Sicherheit zu sprechen. Doch die Wahrscheinlichkeit, dass sich neben der NSA auch noch Kleinkriminelle Zugang zu den eigenen Daten verschaffen, lässt sich mit relativ wenig Aufwand signifikant verringern.

Die Welt wird kleiner

How far a child is allowed to walk on their own, then vs. now

Auf Philippe Wampflers Tumblr-Blog bin ich auf dieses Bild gestossen. Es zeigt die Bewegungsrayons eines heute im Norden Englands lebenden achtjährigen Kindes und dessen Vorfahren dreier Generationen, als diese im gleichen Alter waren.

Wie weit soll sich ein achtjähriges Kind alleine vom Wohnhaus entfernen dürfen?

Wie waren unsere Bewegungsrayons in diesem Alter?

Wie sieht es bei den heutigen Kindern bei uns aus?

Ist ein eingeschränkter Bewegungsraum für die Sicherheit des Kindes notwendig?

Oder hindert er es an seiner Entwicklung?

Ist unsere Welt so gefährlich geworden?

Warum wundern wir uns noch, wenn Kinder Nachmittage lang vor der Gamekonsole sitzen?

Fragen über Fragen.

Schweizer Schulen im Internet: Paranoia hier, blindes Vertrauen dort

Google Security

Google: Gundsätzlich sicherer geworden, an Schweizer Schulen aber unsicherer.

Angefangen hatte alles damit, als Google damit begann, sämtlichen Suchverkehr mit https zu verschlüsseln. An sich eine sehr sinnvolle Sache, die grundsätzlich mehr Sicherheit bringt für alle, die sich via Google im Netz bewegen.

An unseren Schulen hat leider die Massnahme das Gegenteil bewirkt. Schuld daran ist auch eine Portion Paranoia seitens Swisscom sowie Gleichgültigkeit oder Ahnungslosigkeit der meisten Benutzer.

Was genau ist passiert?

  • Google verschlüsselt sämtlichen Suchverkehr, was bedeutet, dass die Swisscom im Rahmen ihres Programms „Schulen ans Internet“ nicht mehr mitlesen kann.
  • Wenn die Swisscom nicht mehr mitlesen kann, kann sie den Google-Suchverkehr nicht mehr filtern und auch die Google Privatsphären-Einstellungen nicht mehr beeinflussen. Das könnte zur Folge haben, dass z.B. ein Schulkind auf einer Google-Bildersuche mal auf ein Bildchen trifft, das es eigentlich nicht sehen sollte. (Was den Link hinter dem Bildchen betrifft wäre der Swisscom-Filter nach wie vor wirksam.)
  • Weil ein solches Szenario offenbar so schlimm wäre, dass zu dessen Verhinderung sämtlicher Internet-Verkehr um jeden Preis gefiltert werden muss, greift Swisscom zu Brachialmethoden (die, wie mir gesagt wurde, auch bei privaten Firmen nicht ganz unüblich seien): Die Verschlüsselung der Suchanfrage wird mit Hacker-Methoden, einer so genannten Man-In-The-Middle-Attacke, ausgehebelt und die unverschlüsselte Suchanfrage über eine amerikanische Firma namens ZScaler weitergeleitet, wo sie gefiltert werden kann.
  • Um die Sicherheitsvorkehrungen von Google zu umgehen, arbeitet Swisscom bzw. ZScaler mit gefälschten Zertifikaten. Diese können bei jeder Suchanfrage vom User weggeklickt werden, oder aber der IT-Verantwortliche der Schule installiert die gefälschten Zertifikate als Root-Zertifikate, so dass der User (darunter nicht nur Schüler, sondern auch Lehrpersonen) ahnungslos bleiben und nicht merken, dass ihre Daten, die sie über Google senden (dazu gehören z.B. auch Login-Daten für Gmail-Accounts) unverschlüsselt über potentiell unsichere Server weitergeleitet werden.
Gefälschtes ZScaler-Zertifikat

Der Browser warnt zu Recht vor dem gefälschten Zertifikat. An den meisten Schweizer Schulen wird dieses aber standardmässig gutgeheissen.

Unterschiedliche Massstäbe punkto Sicherheit

Wenn es um Cloud-Dienste wie Dropbox an Schulen geht, geht die grosse Sicherheitsdiskussion los, weil Dropbox den Datenverkehr zwar verschlüsselt weiterleitet, die Daten selber dann aber auf den Dropbox-Servern unverschlüsselt rumliegen. Geht es um Dienste wie Office 365, fürchtet man juristische Diskussionen, weil die Daten dann nicht mehr auf Schweizer Servern liegen, sondern auf amerikanischen und somit nicht mehr schweizerischer Rechtssprechung unterliegen (weshalb z.B. die Kantone Solothurn und Luzern ihre Schule offiziell vor der Nutzung von Office 365 warnen). Update: Mittlerweile erfüllt Office 365 nach Angaben von Microsoft sämtliche Anforderungen des schweizerischen Datenschützers.

Wenn Swisscom mit Hacker-Methoden verschlüsselten Datenverkehr knackt und diesen über amerikanische Server weiterleitet, ohne zuvor die betroffenen Schulgemeinden hinreichend informiert zu haben, passiert abgesehen von ein paar kaum beachteten Pressetexten – so gut wie nichts. Löbliche Ausnahme ist der Kanton Basel Stadt: Dort heisst es:

«Uns ist die Integrität der Verschlüsselung wichtiger als vermeintlicher Jugendschutz, den man auch auf anderen Wegen erreichen kann»

„Irgendwo fängt Vertrauen an“

Auf das Problem angesprochen, hat mir unser Informatiker geantwortet: «Irgendwo fängt das Vertrauen an». Damit hat er natürlich auch recht. Unserem Provider müssen wir schicksalsergeben ein grosses Mass an Vertrauen entgegenbringen, sonst können wir das mit dem Internet von Anfang an sein lassen. Trotzdem stört es mich, dass diese Massnahme, von Swisscom notrecht-artig umgesetzt (die Praxis, sämtlichen Verkehr über https zu leiten, wurde von Google nicht angekündigt), an unseren Schulen absolut diskussionslos eingeführt wurde.

Nachdem ich gemerkt habe, dass das niemanden wirklich interessiert, hab ich mich diesem Schicksal gefügt. Nun beginne ich trotzdem, meine Dokumente, die ich bislang auf Google Drive abgelegt habe, auf Skydrive umzuziehen, aus dem einfachen Grund, dass Google Drive seit der Umleitung der Daten über ZScaler nicht mehr richtig funktioniert. Nun hoffe ich, dass es Microsoft in nächster Zeit nicht Google gleichtut.

Update 10. Januar 2014, 10:30 Uhr

Es ist nicht so, dass es keine Alternativen zum Man-In-The-Middle-Angriff gäbe. Google hat an diese Bedürfnisse der Schulen gedacht und pfannenfertige Lösungen bereitgestellt.  Warum Swisscom sich trotzdem für einen derart massiven Eingriff in Sicherheit und Datenschutz entschieden hat, ist mir ein Rätsel.

tl;dr

Google sorgt für mehr Sicherheit, was Swisscom dazu veranlasst, das Internet für die Schulen unsicherer zu machen, um weiterhin alle Daten filtern zu können. Das interessiert aber so gut wie niemanden.

Wir würfeln uns ein Passwort

Darüber, was ein sicheres Passwort ist, gibt es im Internet ausreichend Hinweise und Tipps. Die wichtigsten:

  • Ein sicheres Passwort besteht nicht nur aus Zahlen oder nur aus Buchstaben, sondern aus einer Kombination von Zahlen sowie Gross- und Kleinbuchstaben. Können auch noch Sonderzeichen hinzugefügt werden, wird das Passwort dadurch noch einmal deutlich sicherer.
  • Eine Länge von acht Zeichen ist das Minimum für ein einigermassen sicheres Passwort.
Zumindest die wichtigsten Kennwörter – etwa das Passwort für das E-Mail-Konto oder für 1Password sollten sicher und gut merkbar sein.

Zumindest die wichtigsten Kennwörter – etwa das Passwort für das E-Mail-Konto oder für 1Password – sollten sicher und gut merkbar sein.

Doch ein sehr wichtiger Punkt geht oft vergessen: Ein Passwort ist nur dann sicher, wenn ich es mir auch merken kann. So wäre etwa xeWq)&F7p!( nach den oben genannten Kriterien eine gute Wahl, doch da es sich sehr schlecht einprägen lässt und die Gefahr gross ist, dass ich es nicht mehr reproduzieren kann (ein Passwort sollte ja schliesslich auch nicht unverschlüsselt auf der Festplatte gespeichert werden), ist es als Passwort dennoch ungeeignet.

Von Agile Bits, dem Hersteller von 1Password, gibt es einen Artikel, in dem die wichtigsten Kriterien für ein sicheres, aber doch relativ gut merkbares Passwort erklärt werden.

In dem Blogpost wird daran erinnert, dass ein Passwort zudem auch eine zufällige Abfolge Zeichen oder Wörtern darstellen muss, da es sonst von Hacker-Software schnell geknackt werden kann. So kann ich zum Beispiel aus folgendem gut merkbaren Satz Meine 2 Katzen heissen Miezi und Fredi das Passwort M2KhM&F erstellen. Scheint auf den ersten Blick ein sehr sicheres Passwort zu sein, doch da die Programmierer von Hacker-Software auch die Entstehung solcher Passwörter mit einkalkulieren und auf entsprechende Kombinationen vorbereitet sind, wäre es vermutlich ebenfalls schnell geknackt.

Die Buchstabenreihenfolge muss also rein zufällig sein – und damit kommt Diceware ins Spiel: Diceware sind Listen von hunderten beliebiger Wörter, denen ein kurzer Zahlencode vorangeht, der ausschliesslich die Ziffern von 1-6 enthält. Ein Auszug aus der deutschen Diceware-Liste sieht zum Beispiel so aus:

63553 vor
63554 vorab
63555 voran
63556 voraus
63561 vorbau
63562 vordem
63563 vorfall
63564 vorher

Der Trick ist nun, dass ich mir eine Reihenfolge von Wörtern würfle. Gemäss obiger Liste entspräche also die Würfelreihenfolge 6-3-5-6-1 dem Wort vorbau. Nun „erwürfle“ ich mir also fünf oder sechs Wörter aus der Diceware-Liste. Daraus könnte dann zum Beispiel die Wortreihenfolge woelbt-Chaos-Pfund-jung-sofern entstehen. Macht absolut keinen Sinn – und soll es ja auch nicht. Was ich erhalten habe ist jedoch eine auf rein zufälliger Grundlage generierte Liste von Wörtern, die ich relativ gut auswendig lernen kann.

Dennoch erscheint das Passwort immer noch nicht allzu sicher, da es ja keine Sonderzeichen enthält. Nun kann ich aber ohne Weiteres noch das Passwort mit meinen beiden Katzen vorne anhängen, und mein Passwort würde lauten: M2KhM&Fwoelbt-Chaos-Pfund-jung-sofern.

Doch auch bei einem solchen Passwort besteht die Gefahr, dass es vergessen wird; insbesondere wenn man es in der Anfangsphase nicht oft verwenden muss. Unter Voraussetzung der Verhältnismässigkeit sieht Agile Bits ein relativ geringes Sicherheitsrisiko, wenn man das Passwort von Hand auf einen Zettel schreibt und diesen z.B. im Portemonnaie aufbewahrt, bis man das Passwort genügende Male auf dem Computer eingegeben hat, dass man es sich sicher einprägen konnte. Dann kann man den Zettel vernichten.

Und schliesslich noch ein Tipp speziell für Deutschschweizer: Beim Diceware-Prinzip könnte sich unser Dialekt noch als zusätzlicher Vorteil erweisen, da unsere Dialektwörter wohl kaum je auf irgend einer Diceware-Liste auftauchen werden. Ich würfle also so lange, bis ich ausschliesslich Wörter habe, welche im Dialekt anders geschrieben werden als auf Hochdeutsch. Kommt also beim Würfeln die Wortkombination Tausch-Laune-gewinnt-schade-Biene heraus, so verwende ich für mein Passwort Tuusch-Luune-gwuennt-schaad-Bienli. Unschlagbar.