Die Geschichte mit der Verantwortung

Jaja, letzte Woche in Berlin – ihr wisst schon, re:publica – das große Bloggertreffen ohne Kontroversen. Da hat man sich nicht nur getroffen, gehändeschüttelt und gevortragt; es gab auch jemanden der dort für Extrastimmung gesorgt hat.
Kurz zum Hintergrund. Wie bei solchen Treffen durchaus nicht unüblich, gab es ein frei verfügbares, offenes WLan, dass sich offenbar großer Beliebtheit erfreute. Immer wieder konnte man via Twitter und diversen Blogbeiträgen lesen, dass die Verbindung nur sehr instabil zur Verfügung stand.

Nun kann man an diversen Stellen lesen, dass ein jemand auf die schlaue Idee gekommen ist, den Netzwerkverkehr im WLan etwas mitzusniffen (mit speziellen Programmen kann man den Datenverkehr anderer „erschnüffeln“). Da das Netzwerk unverschlüsselt war, kein großes Problem. Und da offenbar die wenigsten sich ernsthaft mit der Thematik auseinandersetzen, gab es auch massenhaft Verbindungen zu unverschlüsselten Mailservern inkl. der unverschlüsselten Übertragung von Passwörtern. Bravo! ;)

Die so gesammelten Passwörter wurden zur allgemeinen Verdeutlichung anschließend über einen Beamer publiziert – nette Show, finde ich. Und auch so traurig, dürften doch auf solchen Treffen primär Leute anwesend sein, die sich selber von „unwissenden“ gerne als Geeks bezeichnen lassen und sich auch selbst als solche sehen. Man schiimpft zwar sehr gerne über Datenschutzthemen und diejenigen die Daten speichern und sammeln, sich selbst aber nur im geringsten vor dem Mißbrauch der selbst täglich genutzten Daten zu schützen ist offenbar zu viel verlangt.

Es scheint auch – gerade im Umfeld von Computern und IT – langsam zur Selbstverständlichkeit zu verkommen sich um fast nichts mehr kümmern zu müssen. Aber vermutlich sind die anderen Schuld. Beispiel: Will ich heute zuhause ein Funknetzwerk in Betrieb nehmen, kaufe ich mir einen Router, stecke ihn an und in nicht wenigen Fällen ist er laut Verpackung bereits „vorkonfiguriert“. Habe ich also z.B. ein Laptop mit WLan-Adapter und entsprechenden Einstellungen, genügt es auf’s Knöpfchen zu drücken und ich bin mit dem Router verbunden. Dann noch eben über die mitgelieferte Software die Zugangsdaten des Internet-Providers eingeben und fettich is der Speck.

Dass der Nachbar hinter der Mauer mit seinem Notebook-Adapter ebenso zugreifen könnte scheint außerhalb jeder Warscheinlichkeit zu liegen. Anders kann ich es mir zumindest nicht erklären, dass in meinem Umfeld auch nach Jahren immer noch ca. 50% der Funknetzwerke unverschlüsselt sind. Die anderen 50% sind aber auch nur deshalb verschlüsselt weil AVM seine Fritz!-Boxen seit geraumer Zeit verschlüsselt ausliefert. Dass die Netzwerke immer noch Fritz!Box7050 etc. heissen beweist für mich, dass der Betreiber nicht sonderlich viel Wert auf Änderung der Standarddaten gelegt hat.

Woher kommt eigentlich diese Verantwortungslosigkeit? Ich traue mich fast wetten, dass die Betreiber von unverschlüsselten WLans auch noch den Hersteller der Funkboxen verklagen würde, wenn sich herausstellt, dass so jemand PIN und TANs beim Onlinebanking abgegriffen und das eigene Konto leer geräumt hat. Das kommt ungefähr dem Kauf einer Haustür gleich, die man hinterher aus angeblicher Unwissenheit nicht zuschließt und anschließend den Türhersteller für einen Einbruch verantwortlich macht.

Aber nochmal kurz zurück nach Berlin. Gab’s doch dann wirklich noch so Helden, die nach bekanntwerden der Passwortschnüfflereien über genau dieses unverschlüsselte WLan und die unverschlüsselte Verbindung zum Email-Server das ebenso unverschlüsselte Passwort unverschlüsselt geändert haben…

Irgendwas läuft hier schief.

16 Gedanken zu „Die Geschichte mit der Verantwortung“

  1. Ich habe erst gestern bei mir im Haus einer Nachbarin erstmal das WLAN verschlüsseln müssen, weil ich auf meinem Laptop festgestellt hatte, dass sie ihr Router immer noch (seit mittlerweile 6 Wochen) in der vorkonfigurierten Einstellung lief. Typisches T-Com-Passwort (0000) und das gesamte Ding offen wie ein Scheunentor.
    Ich kann hier noch auf insgesamt 4 WLANS zugreifen, die in meiner unmittelbaren Nähe sind. Wobei ich sagen muss, zumindest was den Privatuser angeht, sind eindeutig die Anbieter mit ihrer mangelhaften Aufklärung Schuld, gepaart mit einer extremen Naivität der User.

  2. Was die Verantwortung der Hersteller angeht muss ich das aus meiner Sicht verneinen. Ich hatte hier schon einige Router und bei den meisten stand im Handbuch ein deutlicher Hinweis, dass man sein Netzwerk doch besser verschlüsselt betreibt.

    Wer das Handbuch natürlich nicht liest, weiß das auch nicht. Der darf sich dann aber auch nicht über mangelhafte Aufklärung beklagen.

  3. Das Problem ist, dass die meisten Hersteller zwei Handbücher dazulegen: ein ausführliches und einen Quickstart-Guide. In letzterem, zu dem wahrscheinlich die meisten Kunden greifen, fehlen diese Hinweise oft.
    Wobei ich selbst ja die These vertrete, dass jeder, der sich einen Computer und Internet zulegt, sich auch ein gewisses Mindestmaß an Grundwissen aneignen sollte.
    Ich finde es immer noch erstaunlich wenn ich sehe, wieviele Leute heute noch ohne Virenschutz unterwegs sind. Ähnlich ist es bei der Verschlüsselung. Es ist einfach ein Mix aus Unwissenheit und Faulheit.

  4. Das größte Manko an der Technik ist doch in der Regel der Mensch der sie bedient. Was nützt alles Verschlüsseln wenn viele Benutzer aus reiner Faulheit und Vergesslichkeit immer noch Passwörter wie „123abc“ oder „schatzi“ verwenden.
    Es gab mal ein Test mit eBay bei dem geprüft wurde wie sicher die Passwörter waren. Die Tester konnten binnen kürzester Zeit einige tausend Accounts durch reines Ausprobieren „hacken“.
    Ich denke viele WordPress-Blogs kann man auf dem gleichen Weg hacken. Wer ändert schon den Standard-Namen für den Admin bzw. weiß überhaupt wie man das machen kann? Wahrscheinlich reicht ein simpler Angriff mit einer Wörterbuchdatei um etliche Blogs zu öffnen und dort nach Herzenslust rumzuwildern.
    Traurig aber wahr.

  5. Sorry, aber auch wenn ich Dich verstehe, sind das typische Geekvorwürfe.

    Woher kommt eigentlich diese Verantwortungslosigkeit?

    Es ist schlicht Unwissenheit, auch Unverständnis wie die Technik funktioniert. Und es mag für ‚uns‘ einfach zu konfigurieren sein, aber bei Gott das ist es nicht. Die Technik ist oft einfach zu kompliziert und umständlich, das ist das ganze Geheimnis.

    Als ‚Computerfritze‘ sieht man das nur irgendwann einfach nicht mehr. Stelle ich auch oft in Gesprächen fest. Betriebsblindheit und so.

  6. Pingback: IT-Sicherheit und die Eigenverantwortung | .get privacy
  7. Unverschlüsselte WLANs sind allerdings in vielerlei Hinsicht nicht unbedingt schlecht und müssen nicht aus Unkenntnis oder Verantwortungslosigkeit offen sein. Ich betreibe absichtlich ein offenes WLAN, damit jemand, der in der Nähe meines Hauses ist und Netzzugang benötigt, diesen auch unkompliziert vorfindet. Was soll der Unsinn, daß in Wohnhäusern jeder sein eigenes WLAN betreibt? Viel besser ein einziger Vertrag mit dicker Bandbreite, öffnen und alle nutzen ihn. Hierbei natürlich mit Absprache und Aufteilung der Kosten. Offen sollte er trotzdem bleiben, falls jemand im Nachbarhaus zu Besuch ist – der hat dann auch gleich Netzzugriff.
    Ebenfalls halte ich ein offenes Funknetzwerk bezüglich P2P für sinnvoll, denn sollte es dazu kommen, daß irgendein sog. „Rechteinhaber“ auf die Idee kommt, mich für Filesharing belangen zu wollen, kann niemand nachweisen, daß ich derjenige war, der da irgendwas verteilt hat.

    Das sage ich nun aber unter der Voraussetzung, daß man dies *bewusst* tut und nicht aus Ignoranz heraus. So oder so, offenes WLAN ist nicht per se schlecht.

  8. Offenes WLAN ist vielleicht gar nicht das Problem. Sondern vielmehr die unverschlüsselte und sorglose Übertragung von Daten. Auffällig ist nämlich, dass diejenigen die am lautesten über Schäuble&Co meckern am wenigsten für die Sicherheit ihrer Daten tun. Diese Leute sind i.d.R. die letzten die PGP oder ähnliche Verschlüsselungen benutzen (und wohl deshalb am meisten Angst vor Überwachung haben).

  9. Hi,

    ich finde die Diskussion leicht müsig zu führen. Wenn jmd ein WLAN oder sonstwas haben will, sollte einen Fachmann fragen. Im Bekanntenkreis gibt es meist jmd der sich (ein wenig) auskennt.

    @Frank: So einfach mit dem offenen WLAN zwecks P2P nicht machen. Es gibt einschlägige Gerichtsurteile (s. lawblog oder heise), in dem der Betreiber des offenen WLANs auch verantwortlich war.

    Nice day, Markus

  10. Pingback: Insomniaonline » Blog Archive » Verschenkte Passwörter
  11. Die Masse will doch gar nicht wissen, WIE etwas funktioniert, sie will, DASS es funktioniert. Das kann ich auch irgendwie verstehen, aber dann bracuht man sich auch nicht wundern, wenn mal was schief geht. Im Grunde ist es wie beim Auto: Es ist wurscht, wie denn jetzt genau ein Motor funktioniert, aber ich muss zumindest wissen, wo die Bremse ist und die Verkehrsregeln kennen, um mit dem Auto herumfahren zu können.

  12. @Frank: FON ist in dem Zusammenhang eine schöne Sache. Die Hausbewohner können verschlüsselt surfen, Gäste können im Netz zugelassen werden, oder wenn auch Foneros, das unverschlüsselte öfffentliche Signal verwenden, das man auch noch in der Bandbreite regulieren kann.

  13. Offenes WLan war in diesem Fall auch nur ein Platzhalter für die Sorglosigkeit. Natürlich ist es nicht per se schlecht. Es ist auhc nicht grundsätzlich falsch Daten unverschlüsselt zu übertragen, wenn man weiß was man tut.

    @Marcel Weiss: Ich finde so einfach kann man sich’s nicht machen. Wenn ich ein Auto kaufe (um wieder auf das oben genannte Beispiel zurückzugreifen), dann weiss ich auch, dass ich nach X km/Monaten zum Kundendienst muss. Ich weiß auch, dass ich bei nem leeren Tank auftanken muss und dass ich vor längeren Fahrten den Luftdruck kontrollieren sollte.

  14. Also inzwischen hat ja selbst die T-Com WLAN-Router, die automatisch verschlüsselt senden. Insofern ein Fortschritt. Es gibt aber auch Hersteller die schreiben z.B. i.S. SSID, dass man diese belassen soll. Was mich natürlich kein bißchen interessiert, meine Netze haben individuelle Namen zu tragen.
    Wobei es da auch diverse Theorien gibt: Die einen sagen, die SSID muß versteckt werden, die anderen sagen, man solle die ruhig zeigen, da man sie eh leicht aufdecken kann und dann wird sogar empfohlen eine eMail-Adresse oder Telefonnummer anzugeben zwecks Kontaktierungsmöglichkeiten (falls es Probleme mit überlappenden Kanälen gibt).

    Zu fon:
    Solange andere foneros über meine IP surfen und somit im Zweifelsfall erst mal meine Hardware beschlagnahmt wird – solange gibt es hier kein fon bei mir.

  15. @Frank: Ich versteh Dich ja und ich tu mir da auch schwer damit. Ich bin jetzt nicht sotechnikversiehrt wie Du, aber kenn mich schon besser aus als Otto Normalwlaner. Aber dein Beispiel hinkt gewaltig. Wenn man das unbedingt mit Autos vergleichen will, dann eher so: Stell Dir vor, Du musst erst unter Dein neues Auto kriechen und Die Achsen neu einstellen, bevor Du es fahren kannst. Ein KFZ-Schlosser würde lachen und sagen, dass das doch pillepalle ist. Aber ich hätte keinen Plan davon, und Du sicherlich auch nicht. Und so stehen die meisten vor den Routereinstellungen, trotz Manual.

    Was PCs, Routern &co imo oft fehlt sind vernünftige, selbsterklärende, abgestufte Benutzeroberflächen nach Wissensstand (anfänger, Fortgeschrittene, Profis). So dass man als Anfänger nicht von einer Optionenvielfalt eingeschüchtert wird. Generell finde ich, dass das größte Manko der heutigen PC-Technik Usability ist (Ganz schlimm wird’s dann übrigens bei Opensource, die oft bei Performance und Features punktet ohne Ende und beim GUI ein stirnrunzelndes ‚Welche Drogen nehmen die denn?‘ hervorruft. Ich nenne es den Miranda-Effekt.).

    Aber egal, da kommen wir hier ja langsam vom Thema ab. :)

  16. also ich finde einfach den letzten Abschnitt herrlich:

    Gab’s doch dann wirklich noch so Helden, die nach bekanntwerden der Passwortschnüfflereien über genau dieses unverschlüsselte WLan und die unverschlüsselte Verbindung zum Email-Server das ebenso unverschlüsselte Passwort unverschlüsselt geändert haben

    Danke Frank! Grosses Kino!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.