Dropbox-Hack aus 2012 veröffentlicht, mindestens 68 Millionen Accounts sind betroffen

[ottomane]

Die Behauptung ist überhaupt nicht gewagt. Sie trifft auf ausnahmslos jede Privatperson zu.

Tolle Verallgemeinerung. Du weiß überhaupt nichts über mich und behauptest weiterhin das Blaue vom Himmel.

Ich bin durchaus in der Lage, die Sicherheit meiner Daten zu beurteilen und zu gewährleisten. Ich habe kein Rechenzentrum, nutze aber welche. Aber ich nutze sie so, wie ich es will und wie ich es für richtig halte. Und du glaubst es kaum, ich bin mir sehr sicher, dass sie weder gelesen werden noch verloren gehen können.

Was hingengen Dropbox mit meinen Daten macht, mag zwar technisch sicher erscheinen, aber wer wann wo eine Backdoor dorthin hat, wie die Daten verschlüsselt sind, wo wann Passwörter millionenfach geklaut werden, kannst du nicht beurteilen.

Mir jedenfalls ist die Datenbank mit den Nutzerkonten noch nicht gehackt worden. Dropbox schon...

 

[Bananenbieger]

Tut mir leid. Du überschätzt Dich.

Warst Du in allen Rechenzentren vor Ort? Welche Sicherheitsmaßnahmen herrschen dort? Wie überprüfst Du, dass diese auch eingehalten werden? Überwachst Du 24/7 Deine Server/Dienste? In welchen Abständen führst Du Penetrationstests durch. Wie entdeckst Du Angriffe? Wie schnell spielst Du kritische Softwareupdates ein? Wie sieht Dein Authentifizierungs- und Autorisierungskonzept aus? Wie verhinderst Du Manipulationen und das Abzapfen von Daten an der Quelle? Usw. usw. usw.

 

[ottomane]

Man kann sich von diesen Faktoren sehr gut unabhängig machen.

Stellst du auch solche Fragen an Dropbox? Und, wie überprüfst du die Antworten, sofern du überhaupt welche hast? Kennst du die US-Amerikanischen Gesetze?

Sorry, aber du lehnst dich zu weit aus dem Fenster. Das, was du schreibst, mag für 90% der Anwender gelten. Aber nicht für 100%.

Und: Wessen Benutzerdatenbank wurde gehackt? Und wer hat die Kunden darüber jahrelang nicht informiert bzw, hat dies nicht bemerkt? Eben.

Natürlich bin ich auch nicht perfekt, aber ich bin normalerweise auch nicht Ziel von staatlichen und/oder privaten Großangriffen.

 

[abzhibilt]

Und: Wessen Benutzerdatenbank wurde gehackt? Und wer hat die Kunden darüber jahrelang nicht informiert bzw, hat dies nicht bemerkt? Eben.

Dropbox hat das nicht geheimgehalten sondern bereits 2012 bemerkt und publik gemacht. Was die System Sicherheit angeht hat das ohnehin auch keine Aussagekraft. Wenn du in nem Pappkarton wohnst behauptest du ja auch nicht, dein Haus wäre sicherer nur weil noch keiner eingebrochen ist.

 

[Bananenbieger]

Man kann sich von diesen Faktoren sehr gut unabhängig machen.

Produzierst Du Deine Nahrung oder Deinen Strom komplett selber? Hast Du Medizin studiert? In unserer arbeitsteiligen Gesellschaft musst Du notgedrungen immer auf jemand anderes zählen. Klappt aber soweit ganz gut, oder meinst Du nicht auch?

Stellst du auch solche Fragen an Dropbox? Und, wie überprüfst du die Antworten, sofern du überhaupt welche hast? Kennst du die US-Amerikanischen Gesetze?

Bei Dropbox und Co ist das alles Standard. Die beschäftigen ganze Abteilungen damit. Die Cloud hat ein traumhaftes Sicherheitsniveau. Bei AWS, Azure und auch bei Akamai durfte ich aber schon mal mir tiefer alles anschauen. Wenn Du bei Akamai das Rack eines HTTPS-Dienstes öffnest, werden alle darin befindlichen Server augenblicklich „gelöscht“ (die Festplatten sind verschlüsselt und bei Türöffnung wird der Schlüssel gelöscht - schnell und effektiv). Bei Amazon kommst Du als Mitarbeiter nur indirekt über einen Zentralen Proxy auf die Hosts drauf, wenn es dazu ein mehrfach genehmigtes Ticket gibt. Jede Aktion eines Admins wird dabei rechtssicher protokolliert. Als Gast macht man bei AWS übrigens keinen Schritt, ohne dass jemand vom Sicherheitsdienst neben einem steht.

Sorry, aber du lehnst dich zu weit aus dem Fenster. Das, was du schreibst, mag für 90% der Anwender gelten. Aber nicht für 100%.

Es gilt für 100%. Wie gesagt: Kein Mensch hat die Zeit und Ressourcen dafür.

Und: Wessen Benutzerdatenbank wurde gehackt? Und wer hat die Kunden darüber jahrelang nicht informiert bzw, hat dies nicht bemerkt? Eben.

Was glaubst Du denn, wie viele Menschen überhaupt nicht merken, dass jemand sie gehackt hat? Und selbst wenn, mein Dropbox-Passwort ist nur mein Dropbox-Passwort. Sowas ist schnell geändert. Wie viele Leute benutzen aber ein Passwort für alles? Und wie viele benutzen immer noch leicht erratbare Passwörter?

Natürlich bin ich auch nicht perfekt, aber ich bin normalerweise auch nicht Ziel von staatlichen und/oder privaten Großangriffen.

Sicher? Schau mal in Deine Serverlogs. Meine werden jeden Tag mindestens 10 bis 20 Mal attackiert. Angriffe werden mittlerweile industriell am Fließband durchgeführt. Da braucht man nicht einmal im Fokus zu sein.

 

[ottomane]

Ich bin kein Bauer, also produziere ich mein Essen nicht selbst, auch bin ich kein Mediziner und gehe zum Arzt.

Aber ich bin ITler und daher kann ich in dem Bereich ein paar Dinge selbst. Das Sicherheitsniveau von irgendwelchen Clouds mag technisch hoch sein. Trotzdem sind genau diese Systeme Ziele von allerhand Leuten aus verschiedenen Bereichen. Legal und illegal. Was nützt mir ein selbstzerstörendes System, wenn es z.B. Backdoors oder Behördenzugriff gibt?

Meine Systeme genügen genau meinen Anforderungen an Sicherheit und Funktion. Ich weiß, wie sie funktionieren und wer daran kann. Ich weiß sogar, wo sie sich befinden.

Und natürlich weiß ich, was im Internet auf meinen Servern los ist und ich rund um die Uhr von Deppen und vor allem Bots angegriffen werde. Schließlich betreibe ich seit 15 Jahren selbst Server. Diese Angriffe sind aber Spielkram im Vergleich zu den Dingen, denen große Anbieter ausgesetzt sind. Ich habe "richtige" Angriffe durchaus bereits live erleben und bekämpfen dürfen.

Dank meiner genau auf meinen Bedarf zugeschnittenen Lösungen ist es mir aber ohnehin ziemlich egal, ob jemand meine Server hackt oder nicht.

Aber vielleicht ist mein Punkt nicht klar. Ich behaupte nicht, technisch besser zu sein, als Dropbox und Co., (ich weiß sehr gut, dass das natürlich total vermessen wäre) sondern ich vertraue ausschließlich mir selbst. Und meine Kenntnisse reichen, um meine eigenen Anforderungen zu befriedigen. Mehr nicht.

 

[Bananenbieger]

Ein paar Dinge selbst zu können reicht aber nicht. Ich bin ja selber ITler und heilfroh, dass wir bei uns im Unternehmen dedizierte Teams für jegliche Securityaspekte haben.

Klar, Cloudanbieter werden in anderem Maße angegriffen. Aber die haben auch entsprechende Kalliber, um zurückzuschießen. Viel mehr noch: Bei den Public Clouds weiß man, dass sie Angriffen standhalten.

Ich denke mal, dass ich wahrscheinlich so ungefähr das gleiche IT-Server-Admin-Know-How wie Du hast (als ich angefangen habe, gab es noch Netware und Token-Ring als Krönung der Schöpfung), aber aus genau diesem Grund source ich quasi alles Wichtige aus.

 

[Schupunkt]

@Bananenbieger
Wenn sich jemand selber mit solchen Dingen auskennt, ist es doch wohl für diese Person ein kalkuliertes Risiko das er eingeht, wenn er sich selbst um seine Daten kümmert.
Ich bin kein Mathematiker aber ich vermute das die meisten halbwegs vernünftig geschützten Systeme relativ sicher sein müssten vor Angriffen, zumindest solange sie nicht konkret gegen dieses bestimmte System gerichtet sind. Zumindest so lange wie es noch deutlich leichter zu knackende Systeme gibt.
Und falls es dann doch schief geht, kann man die Schuld direkt bei sich selber suchen...
Ich persönlich vertraue auch lieber der Cloud, da ich mir sicher bin das die das deutlich besser sichern als ich es könnte. Als Backup gibt's sonst nur noch ein time machine Backup, darum muss ich mich dann auch kaum kümmern... iPhone und iPad werden auch schon lange nur über die Cloud gesichert, da mir das auf dem Mac zu viel Platz raubt.

 

[hoopaholic]

Liebe Redaktion, zur Überschrift: es heißt doch entweder"von 2012" oder "aus dem Jahr 2012", aber nicht "aus 2012". Oder hat sich der Duden da was Neues einfallen lassen? Viele Grüße

 

[Mitglied 128076]

Liebe Redaktion, zur Überschrift: es heißt doch entweder"von 2012" oder "aus dem Jahr 2012", aber nicht "aus 2012". Oder hat sich der Duden da was Neues einfallen lassen? Viele Grüße

Ich habe mir das etwas neues einfallen lassen und zwar die Abkürzung "aus dem Jahr". Das "dem Jahr" bleibt hier stumm

 

[kelevra]

Was @ottomane schreibt ist völlig nachvollziehbar und ich handle es genauso:
Server wird von mir selbst betrieben.
Ich weiß wo die Kiste steht, wer in etwa dran geht und welche Software darauf läuft. Alle Daten die darauf liegen sind entweder unwichtig für einen Angreifer oder liegen in verschlüsselten Containern. Ich setze darauf, dass sich niemand die Mühe macht, die zu knacken.

Und für alle Daten, die auf keinen Fall in die falschen Hände geraten sollen gilt bei mir: sie liegen in keinem Cloudspeicher, auf keinem Server und möglichst nichtmal auf einem Rechner.

Am Ende muss jeder für sich entscheiden, wie viel Aufwand er betreiben möchte. Da muss man aber auch sehen, dass den meisten Menschen das Wissen fehlt, sich einen Server sicher zu hosten. Und schlussendlich blebt es abzuwägen, welche Daten man ggf. der Gefahr aussetzen kann/möchte, dass diese abgegriffen werden. Ich denke nicht, dass es dafür eine allgemeingültige "richtige" Antwort gibt.

@Bananenbieger Dein Punkt bzgl. der unsicheren Passwörter ist völlig richtig. Viele User nutzen das gleiche, oft einfache Passwort für alle Dienste. Die meist benutzte Kombination aus E-Mail + Passwort führt dann schnell zum Supergau, wenn auch nur einer der Dienste kompromittiert wird.

Man schaue sich nur beispielhaft die meistgenutzen Passwörter an, die aus dem jüngsten last.fm hack hervorgehen:
https://nakedsecurity.sophos.com/2016/09/02/and-the-worst-passwords-from-the-last-fm-hack-are/

Wer solche Passwörter nutzt, dem ist nicht mehr zu helfen.

 

[raven]

Wer solche Passwörter nutzt, dem ist nicht mehr zu helfen.

Doch wer soche Passwörter nutz dem muss geholfen werden.
Sei es dem mal die Faulheit aufzuzeigen, oder seine Unwissenheit vor Augen zu führen.

Machmal die Kombination von beidem.

 

[Bananenbieger]

Wenn sich jemand selber mit solchen Dingen auskennt, ist es doch wohl für diese Person ein kalkuliertes Risiko das er eingeht, wenn er sich selbst um seine Daten kümmert.

Richtig. Das heißt aber dann immer noch nicht, dass die Daten dann sicherer als in der Cloud sind.

Ich bin kein Mathematiker aber ich vermute das die meisten halbwegs vernünftig geschützten Systeme relativ sicher sein müssten vor Angriffen, zumindest solange sie nicht konkret gegen dieses bestimmte System gerichtet sind. Zumindest so lange wie es noch deutlich leichter zu knackende Systeme gibt.

Eine absolute Sicherheit wird es eh nie geben, aber auch selbst wenn einzelne System gut geschützt sind, gibt es genügend andere Angriffsvektoren. Zumal, wie ich schon weiter oben mal geschrieben habe, die meisten sensiblen Daten eh außerhalb des eigenen Machtbereichs gelagert und verarbeitet werden.

 

[ottomane]

Richtig. Das heißt aber dann immer noch nicht, dass die Daten dann sicherer als in der Cloud sind.

Du pauschalisierst. Hier geht es um einzelne Leute mit eigenen Anforderungen.

 

[Bananenbieger]

Nochmals: Du wirst als Einzelperson nie in der Lage sein, ein entsprechendes Sicherheitsniveau zu schaffen. Das ist faktisch unmöglich.

Von daher haben wir hier einen der wenigen Fälle, wo eine Pauschalisierung tatsächlich ausnahmslos gültig ist.

 

[ottomane]

Du pauschalisierst erneut. Und Pauschalisierung ist hier keinesfalls ausnahmslos gültig.

Du sprichst abstrakt und generell von "Sicherheitsniveau". Dieses muss aber immer in Relation zu der jeweiligen Anwendung und Lösung gesehen werden. Ich nutze z.B. nur ganz spezielle Funktionen, ansonsten kann ich meine Systeme zunageln wie Fort Knox. Das ist z.B. bei Dropbox gar nicht möglich, da man hier eine Vielzahl von Diensten anbietet, die die Angriffsfläche vervielfachen.

Außerdem haben meine Systeme exakt einen Anwender und nicht zig Millionen. Außerdem habe ich kein Skalierungsproblem. Außerdem weiß ich, in welchem Rechtsraum mit welcher Anbindung meine Systeme stehen. Außerdem haben meine Systeme exakt einen Administrator. Ach, es gibt so vieles, was mir noch einfällt.

Das nur als Beispiele für das, was ich meine. Aber ich glaube, wir reden ohnehin völlig aneinander vorbei.

 

[Bananenbieger]

Du kannst zwar Dein System sehr schlank und minimal aufsetzen (immer eine gute Idee), aber dennoch kannst Du Dich nicht 24/7 um die Sicherheit kümmern. Das ist schon das erste große, für eine Einzelperson unlösbare Problem.

Zumal ich daran erinnern möchte, dass die wenigsten Leute überhaupt ihr System entsprechend aufsetzen, zunageln und warten können.