Kann eine (soziale) Einrichtung ohne große Hemmschwellen besucht oder ein staatliches Angebot in ebenso einfacher Weise in Anspruch genommen werden, dann nennen wir das niedrigschwellig.
Webseite von Politiker sollen auch gern einfach besucht werden. Kann man sie aber auch „einfach” in Anspruch nehmen, dann ist was schief gelaufen.
Wer heute Morgen die Webseite von Ralf Stegner besuchen wollte, der wurde kurzzeitig so begrüßt:
Die „wahren Lübecker” hatten sich die Seite unter den Nagel gerissen und informierten den überraschten Besucher nicht etwa über irgendwelche misslichen Zustände in Lübeck oder Fehler der sozialdemokratischen bzw. Stegnerschen Politik sondern über die Notwendigkeit von sicheren Passwörtern. Man entschuldigte sich sogar bei den Besuchern, gab aber immerhin in Leetspeak auch zu verstehen: Ph34r 0ur 1337 h4x0r 5k111z (Etwa: Fürchtet unsere herausragenden Hackerfähigkeiten).
So weit hergeholt ist die Warnung nicht, denkt man an den jüngsten LulzSec-Hack, der 62.000 E-Mail-Passwörter ans Tageslicht brachte. Die Liste der Passwörter ist eindrucksvoll banal.
123456 wurde 558 mal benutzt
123456789 wurde 181 mal benutzt
password wurde 132 mal benutzt
romance wurde 88 mal benutzt
102030 wurde 68 mal benutzt
mystery wurde 67 mal benutzt
tigger wurde 62 mal benutzt
shadow wurde 61 mal benutzt
123 wurde 55 mal benutzt
ajcuivd289 wurde 55 times (Ein Blick in die Originaldaten offenbart, dass es sich anscheinend um eine einzelne arme Sau handelt, die 55 EMail-Konten angelegt hatte)
Eine tiefergehende Analyse von Rafe Kettler zeigt, dass die Passwörter banal gebildet wurden: Fast 20 Prozent der Passwörter bestanden nur aus Zahlen. Zwar beinhaltete ein Drittel der Passwörter eine Mischung aus Groß- und Kleinbuchstaben, Sonderzeichen oder Zahlen. Passwörter, die aus Groß- und Kleinbuchstaben, Sonderzeichen und Zahlen bestanden, waren aber rar. Das sollte uns zu denken geben.
Liegt der Fehler nicht eher an der unsicheren Software, die es den Hackern ermöglichte, die Webseite zu verändern? Ja und Nein. Dass die Software, die wir benutzen, sicher ist, können wir nicht immer gewährleisten. Aber für unsere Passwörter sind wir schon selbst verantwortlich.
Einspruch: Auch für den Einsatz von unsicherer Software sind die Betreiber der Website selbst verantwortlich!
Wer ein CMS oder ein anderes Redaktionssystem betreibt, muss zusätzlich dafür Sorge tragen, daß jemand mit ausreichender IT-Kompetenz dauerhaft vorhanden ist, der sich um die Pflege der Software (was notwendige regelmässige Aktualisierungen beinhaltet) kümmert.
Es ist ein all zu häufiger Irrgedanke, daß nach der Installation eines beliebigen CMS kein technisches Support mehr notwendig sei.
(Wobei ich dem Autor des bigen Beitrags nicht unterstelle, daß er so denkt! Ich bin überzeugt davon, er ist derselben Meinung.)
Unsichere Software wird dann eingesetzt, wenn niemand da ist, der sich drum kümmert. Und wenn niemand kompetentes eingesetzt wurde, um sich drum zu kümmern, trägt der Auftraggeber eben auch dafür die Verantwortung.
Und nicht die Programmierer.
Der Autor war ich :-) Als ich anfing, den Artikel zu schrieben, war ich (wegen eiens updates :-), als Admin unterwegs. Ich habe die Autorennennung nun geändert.
Ja, wir denken gleich. Ich wollte in diesem Artikel heraustellen, dass uns (vermeintlich) sichere Software nicht davon befreit, selbst sicher zu handeln, denn wir sind häufig genug selbst die Schwachstelle. Das befreit uns natürlich nicht von der Pflege des Systems. Das kommt in der Kürze nicht richtig rüber.