„Sicherheit geht vor – Nicht ohne Salz und Hash“

Beim Online-Brillenanbieter Mister Spex haben Datendiebe Adressdaten und Passwörter abgegriffen. Im Klartext: Unser System stand offen wie ein Scheunentor und wir haben ihre Datensicherheit wissentlich aufs Spiel gesetzt, weil die Daten weder gehasht noch gesalzen waren.

Sowas fällt heutzutage unter Fahrlässigkeit. Aber Mister Spex ist hier nur ein unbedeutendes Beispiel, wenn man sich die Lecks der letzten Monate anschaut. Dabei muss man sich fragen, wer bei multinationalen Unternehmen teilweise in der IT hockt. Affen ist eine häufige Vermutung. Alternativ weiß man darüber Bescheid, aber es interessiert die verantwortlichen einfach nicht, weil es nur um Kunden geht, sprich den Dreck unter des Unternehmens Füßen. Und ohne eine Verbraucherschutzvorschrift mit saftigen Strafen, wird sich dies auch nicht ändern. Ein besonderer Scherz: Wie viele andere unsichere Seiten ist auch diese Seite mehrfach sicherheitszertifiziert, was uns einen kleinen Hinweis darauf gibt, was diese Sicherheitszertifikate wert sind: Nichts

Advertisements
Dieser Beitrag wurde unter Netzwelt, verbale Diarrhoe abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

9 Antworten zu „Sicherheit geht vor – Nicht ohne Salz und Hash“

  1. 3-6 schreibt:

    Das habe ich mir schon öfter mal gedacht: es gibt für jeden Scheiss besondere Beauftragte, die Unternehmen ab einer gewissen Größe abstellen müssen (Arbeitnehmervertreter zB). Aber Datenschutz und IT-Sicherheit? Ach nee …

  2. Andai schreibt:

    Da frage ich mich allen ernstes, wieso ich während der Ausbildung und auch jetzt noch alle 6 Monate eine Datenschutz Schulung machen muss und mir mit einem sprichwörtluichen Hammer +Datensicherheit* und wie wichtig sie für ein Unternehmen ist, eingehämmert wurde…das ist ungefähr dasselbe wie eine ordentliche Dokumentation bei der Programmierung oder ein Lasten-/Pflichtenheft….
    Da habe ich manchmal das Gefühl ich wurde zu gut ausgebildet und weil ich nicht affig genug bin, finde ich keinen Job…aber ich vergass..wir haben ja Fachkräftemangel…wenn solche Idioten in der freien Wirtschaft arbeiten dürfen..wieso haben andere dann keinen Job bzw. nur einen befristeten Abzocker LZA-Vertrag? ^^

    Und als Kunde…hach ja ich weiß schon warum ich nahezu auf jeder Plattform ein anderes PW nutze….zwar kein perfekter Schutz aber immerhin etwas.

  3. Wallace schreibt:

    Ein kurzer Blick auf die Website von „Trusted Shops“ enthüllt auch schon das Problem: „Wirschaftsjuristen zertifizieren über 100 Einzelkriterien“. Es geht also ganz eindeutig um eine juristische Prüfung, keine technische.

    Kleines Beispiel – Unter 2.9 der Liste der geprüften Kriterien, findet sich dann Folgendes: „Der Online-Shop verpflichtet sich, ein geeignetes IT-Sicherheitskonzept, insbesondere Verschlüsselungstechnologie, Vorkehrungen gegen den Zugriff bzw. Zutritt unberechtigter Dritter und sichere Server einzusetzen, um die Privatsphäre des Verbrauchers zu schützen und Missbrauch zu verhindern. Der elektronische Transfer von Zahlungsinformationen muss stets verschlüsselt erfolgen.“
    Ich bin in den Formulierungen von Wirtschaftsjuristen nun nicht so fit, aber wenn ich das richtig sehe, wird also nur geprüft es eine solche Verpflichtung des Shops gibt. Nicht was wirklich passiert und ob das technisch auf dem Stand der Zeit ist.

    Was mir beim Überfliegen auch noch aufgefallen ist: Viele der Punkte, die dort sonst noch aufgeführt werden, sind sowieso gesetzlich vorgeschrieben, wenn man in Deutschland einen Webshop betreibt. Selbstverständlichkeiten wie AGBs, Impressum und so weiter. Die zusätzliche Prüfung ist also… nett… und sorgt natürlich dafür, dass man auf „über 100“ Punkte kommt.

    Über 100 Punkte. Man, das muss ja sicher sein.

  4. Wallace schreibt:

    Du hättest halt „Wirtschaftsjurist“ werden sollen. 😉 (siehe unten)

  5. Andai schreibt:

    Wo war nochmal meien Tischplatte? ^^

  6. Andai schreibt:

    Wobei das jetzt auch nicht zwingend für die Nachhaltigkeit der Arbeit als Wirtschaftsjurist spricht..aber das ist ja ein anderes Thema und da gilt ja fast noch mehr: Geld macht alles möglich ^^.

  7. sirdoom schreibt:

    Und mal ehrlich: Sich für jede Plattform – und mittlerweile muss man sich ja für jedes Spiel/Programm bei irgendwas anmelden, damit es funktioniert – ein sicheres PW zu erstellen, was man sich merken kann, ist ein wahrer Schmerz. Ich kann Leute schon verstehen, die ein PW mehrfach verwenden, auch wenn es nicht geschickt ist. Aber was mich echt tierisch aufregt: Selbst wenn man sich die Mühe macht, bringts es einem gar nichts, weil selbst Weltunternehmen die einfachsten Sicherheitsregeln nicht einhalten können oder wollen. Und diese Zertifizierung ist eine Arbeitsbeschaffungsmaßnahme…^^

  8. Wallace schreibt:

    Sind sie das nicht alle? 😉
    Ist sonst schon mal jemand auf einen „ISO-Schrank“ getroffen? Man erkennt den Schrank an der Anmerkung der Kollegen: „Fass da bloss nichts an, den brauchen wir wenn wieder dieser Audit zum Gucken kommt.“
    Alles in Allem sind Zertifizierungen immer nur so viel wert, wie der Zertifizierte sie wert seien lässt. Man kann sich immer entweder ein Institut suchen, das vor Allem guckt ob die Rechnung bezahlt wird, oder sich zwei Wochen auf die Zertifizierung vorbereiten und danach wieder schleifen lassen.
    Echte Sicherheit gibt kein Zertifikat. Es kann immer nur ein Hinweis sein.

    Letztlich ist der Weg den 3-6 angesprochen hat schon sinnvoll, wenn natürlich auch nicht der Weisheit letzter Schluss. Wenn ich in meinem Betrieb schweiße, gibt es eine verantwortliche Schweißaufsicht. Wenn ich Scheiße schweiße, steht die mit einem Bein im Knast. Wenn ich in meinem Betrieb mit Tieren arbeite, gibt es eine/n Tierschutzbeauftragte/n und sollte ein Verstoss festgestellt werden, gibt das eins zwischen die Hörner (Knast ist da seltener, weil Tiere seltener zusammen brechen und Sach- und Personenschäden anrichten als Schweißkonstruktionen…).

    Das Modell wird auch in anderen Teilbereichen verwendet. Datenschutzbeauftragte sind aber nicht weisungsbefugt und werden dementsprechend oft weder erst genommen, noch zur Verantwortung gezogen.

    Davon abgesehen, brauchen viele Internetshops vermutlich nicht mal Datenschutzbeauftragte, weil es 5-Leute-Buden sind, man aber erst ab 10 bzw. 20 Personen einen braucht. Man müsste die Stelle also eigentlich an der Anzahl der Kunden festmachen, und nicht an der Anzahl der MitarbeiterInnen.

    Im Gesetz ist übrigens auch eine entsprechende Sachkunde vorgeschrieben. Die wird sich aber vermutlich mal wieder nur auf Datenschutzrechtliche Inhalte beziehen und nicht auf technische. Auch da müsste man also deutlich was ändern.

  9. sirdoom schreibt:

    Ich sehe es schon vor mir: BLÖD und der Verband der Onlinehändler warnen vor Jobvernichtung! Die Mehrkosten für übertriebene und überflüssige Maßnahmen, die Personalkosten und die ausverschämten Bußgelder(bis 5000€ oder so) werden TAUSENDE von Arbeitsplätzen kosten!!! 😉

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s