Wie Apple mit Behördenanfragen umgeht

Foto: Joe Ravi, CC-BY-SA 3.0

Im Frühjahr 2014 hat Apple die Verfahren transparent gemacht, mit denen
Behördenanfragen firmenintern behandelt werden. Im Prinzip ist es ja ganz
einfach. Es ist eine einfache Zuordnung: Welcher Beschluss oder welche Regel
führt zur Herausgabe welcher Daten? Daraus entstehen dann Handlungsanweisungen
und Checklisten.

Tipp des Datenschutzbeauftragten

Zunächst sollten Sie wissen, welche Daten in Ihrem Unternehmen über welche
Personen gespeichert sind. Und dann müssten Sie wissen, wo. Fürs Wochenende:
Gehen Sie mal auf die Suche
Übrigens, ich unterstütze Sie gern.

Zum Artikel: engadget


Foto: Wikimedia, Joe Ravi CC-BY-SA 3.0

Top 100 Passwörter des Adobe-Hacks aufgetaucht

Was bisher geschah

Am 3. Oktober 2013 wurden Adobekonten gehackt. Nun sind bereits Listen geknackter Passwörter im Netz aufgetaucht. http://stricture-group.com/files/adobe-top100.txt wie t3n http://t3n.de/news/adobe-hack-noch-viel-schlimmer-506598/

Fotolia_1645217_S Fotolia – Andrea Danti

Warum es jeden angeht

Viele Anwender_innen nutzen ihre Passwörter nicht nur einmal, sondern bei mehreren Anbieter. So wurden bei Adobe zwar „nur“ 3 Millionen Passwörter erbeutet, es ist aber davon auszugehen, dass es insgesamt 127 Millionen Konten insgesamt betrifft. Mit den 100 o. g. Passwörtern können 4,6 % dieser Konten infiltriert werden. Das entspricht 5,9 Millionen Konten.

Was ist zu tun?

  1. Passwörter bei Online-Diensten ändern, besonders bei den Diensten mit Daten, die die Existenz, Leib oder Leben gefähren.
  2. Sichere Passwörter verwenden
  3. Passwörter mit mindestens 8 Stelenn verwenden.
  4. Passwörter nur für jeden Dienst einzeln verwenden.

Wie sichere Passwörter gebildet werden können, steht z. B. hier http://daleth-datenschutz.blog.de/2013/10/15/stiehlt-schon-gern-passwoerter-16598474/

Wer stiehlt schon gern Passwörter?

Passwörter liegen – bei den meisten – Anbietern – so hoffe ich – nicht als Klartext in einer Datei und kleben nicht unter der Tastatur. Das wäre dann wohl doch zu blauäugig. Passwörter werden als Einwegverschlüsselung gespeichert, sogenannte Hash-Werte. Diese Werte sind Einbahnstraßen aus dem Hash-Wert kann das Passwort nicht zurückgerechnet werden. Dann ist doch alles gut, werden Sie erleichternd aufatmend sagen. Die Antwort kommt aus dem Kaukasus: „Im Prinzip ja.“ Denn mit ausreichend Rechenleistung lassen sich aus beliebigen Variationen von Zahlen, Zeichen und Buchstaben errecchnen. Der errechnete Wert wird mit dem vorhandenen Hash-Wert aus der Tabelle verglichen und wenn sie übereinstimmen: Bingo! Die Anzahl der Möglichkeiten und damit die Rechenzeit steigt am deutlichsten mit der Anzahl der Stellen eines Passowrtes. Die Präsentation zeigt dazu Beispiele.

Bei Passwörtern kommt es auf die Länge an

Passwörter - es kommt auf die Größe an

Ein Beispiel für diese Rechnerei. Jemand hat einen Passwort-Hash-Wert „bekommen“.
Der lautet „059fb00a4e5ef45c7fe0d60563c453c6“. Nun beginnt die Rechnerei. Die Anzahl der Verfahren für Passwortverschlüsselung ist übersichtlich. Wir beginnen mit MD5 und quälen uns durchs Wörterbuch der deutschen Sprache. Beim Buchstaben T werden wir fündig und erkennen: Das Passwort zu diesem Hash-Wert ist „Tante“. Die Wörterbuchsuche ist eine übliche Variante und es gibt vorberechnete Tabellen für viele Wörter, damit man nicht immer wieder neu rechnen muss, das sind Rainbow-Tables. Hätten wir den Hash-Wert für das Wort „Acker“ gesucht, wären wir mit dem Berechnen viel schneller fertig gewesen. Obwohl die Anzahl der Möglichkeiten gleich geblieben ist.

Es kommt also auf ein Wort an, dass das Wort nicht in einem Wörterbuch steht. Gewiefte Administratoren setzen zur Sicherung der Passwortdatenbank mehrere Verfahren nacheinander ein und „salzen“ die Hash-Werte mit bestimmten Zeichenfolgen. Das erschwert das Zurückrechnen wesentlich, weil neben den bekannten Verfahren noch das Wissen um das geheime Wort – das Salz – bekannt sein muss. Das Beispiel zeigt, dass Passwörter aus Wörterbüchern und einfachste Lösungen keine gute Idee sind.

Woher bekommt man die Rechenleistung? Ein handelsüblicher Computer kann heute (15.10.13) 600 Millionen Passwörter berechnen. Pro Sekunde. Nimmt man eine Grafikkarte dazu, die sehr gute Rechenleistungen haben, werden daraus 1,2 Milliarden und das lässt sich mit weiteren Grafikkarten in einem PC weiter ausbauen. So erhält man für einige 100 Euro ein gutes Rechenzentrum.

Wie findet man ein sicheres Passwort? Zunächst sollte ein Passwort sich aus folgenden Merkmalen zusammensetzen:

  • Zahlen,
  • Zeichen wie „(){}!§$%&/=-.,;:_“,
  • Großbuchstaben und
  • Kleinbuchstaben

Die Stellenanzahl sollte zusätzlich mindestens bei 8 liegen, dann ist ein Passwort recht sicher. Auf der folgenden Seite können Sie Beispiele Ihrer Passwörter testen. Achtung, nicht das echte Passwort nutzen! http://www.wiesicheristmeinpasswort.de/.

Übrigens,
ein guter Ort zur Speicherung des Passwortes ist ein Zettel in der Brieftasche. Jedenfalls solange, bis das neue Passwort sitzt. Und da sollte auch nur das Passwort stehen, nicht der Benutzername und auch nicht der Computername.

Zum Erzeugen eines sicheren Passwortes gibt es unter anderem diese drei Möglichkeiten

  1. Mehrere kurze Wörter zu einem Satz verbinden. Denken Sie vier Wörter, die ohne Zusammenhang sind, und setzen sie aneinander. „Tulpe“, „blau“, „tanzt“ und „Meer“. Das ergibt das Passwort „BlaueTulpetanztMeer“, setzen Sie ein Sonderzeichen dazu und Sie haben ein langes leicht zu merkendes Passwort.
  2. Nehmen Sie ein längeres Wort und fügen Sie sprechende Zeichen ein. Aus „Donaudampfschiff“ machen Sie „D0naud8mpfsch1ff“. Das ergibt einen guten Wert in Sicherheit.
  3. Anfangsbuchstaben eines Satzes verwenden. Denken Sie sich einen Satz aus und erstellen Sie das Passwort aus den Anfangsbuchstaben. Der Satz könnte heißen: „Ein Großteil der Menschen in Europa atmet ungesunde Luft,“ (Zeit online) das ergibt das Passwort „EGdMiEauL,“ das ist noch nicht so gut, aber wenn Sie die Jahreszahl davor und danach anbringen, wird es viel besser. „20EGdMiEauL,13“

Literatur

FIPS – 4 Stufen für die Sicherheit von Festplatten

Worum geht es in der gegenwärtigen Debatte um Datenschutz – was meist Datensicherheit – bedeutet, aber wer kennt schon den Unterschied?

  • Geheimdienste, die uns mit ihrem beträchtlichen Arsenal an Hardware, Software und Spezialisten, die damit auch umgehen können,  uns ausspähen oder
  • Zeitgenoss_innen, die ihre privaten und privatesten Geheimnisse öffentlich und öffentlichst preisgeben oder vielmehr
  • das Bewusstsein, dass das Internet nicht zu unser allgemeinen Bespaßung geschaffen worden ist und dass die dunklen Seiten des WWW nicht allein in Pornographie zu finden sind.

Zur Sicherung von Daten gibt es seit langem Standards, einer davon ist FIPS der Federal Information Processing Standard (Bundesstandard für Datenverarbeitung) Die folgende Präsentation „Was ist FIPS und was bringt es wirklich?“ gibt Erläuterungen dazu.

DLDS_FIPS_V02_20130905

http://de.slideshare.net/ddsquare/was-bringt-fips-wirklich-an-datensicherheit