Beiträge: 1.544
Themen: 74
Thanks Received: 777 in 334 posts
Thanks Given: 369
Registriert seit: May 2013
Noch vor wenigen Tagen hatte ich eigentlich nur stille Schadenfreude: Die ganzen Träume vom "Internet der Dinge", Haustürsteuerungen per Smartphone, selbstfahrenden Autos ... wurden zerstört durch einen banalen Hackerangriff auf einen Router der Telekom.
Eigentlich nichts besonderes, der Angriff, denn solche Technik hat naturgemäß riesige Sicherheitslücken. Wer macht schon Sicherheitsupdates für die Firmware von Waschmaschinen, Fernsehern, Toastern oder eben Routern? Wer kann das überhaupt? Damit war für mich klar: Spätestens jetzt sollte auch dem letzten Politiker klar sein, dass nichts mit dem Internet verbunden gehört, was irgendwie "systemrelevant" ist. (Anmerkung: Über verschlüsselte Tunnel lässt sich alles übers Internet verbinden, selbst streng geheime Militärdaten. So ist nämlich damals das Internet überhaupt erst entstanden.)
Leider muss es in der modernen Welt aus Versicherungsgründen immer einen Schuldigen geben. Kein Ast fällt mal einfach so vom Baum und erschlägt zufällig Gäste eines Volksfestes. Da der Baum nicht schuldfähig ist, greift das Prinzip der "Störerhaftung": Es wird die nächstliegende greifbare Person in Haftung genommen, also in diesem Fall der Besitzer des Baumes. In meiner Kindheit war das übrigens anders, wenn von uns jemand beim Klettern aus dem Baum fiel und sich was brach, dann war das eben so. Heute ist das Verletzung der Aufsichtspflicht. In der Straße meiner Kindheit wurden sogar die unteren Äste abgesägt, damit keine Kinder mehr auf die Bäume klettern können. Die Besitzer-Firma der Bäume hatte Angst vor der Störerhaftung.
------
Aktuell geistern Ideen durch die Politik, dass es für Geräte, die am Internet angeschlossen sind, einen Verantwortlichen für Hackerangriffe geben soll. In Frage kämen... - Firmware-Hersteller, die dann regelmäßig Updates anbieten müssen.
- Anwender, die innerhalb von einer bestimmten Frist diese Updates einspielen müssen.
- Softwarehersteller, die Sicherheitslücken beheben müssen.
- Anwender, die deren Sicherheitsupdates in einer bestimmten Zeit einspielen müssen.
OpenSource soll gefördert werden, damit kleine Firmen eine Chance haben überhaupt noch Software ans Internet anzuschließen. Da OpenSource aber aus Prinzip keine Haftung übernehmen kann und will, würden nur noch große Konzerne in der Lage sein, unter solchen Bedingungen Software ans Internet anzuschließen.
------
Second Life hatte drei mal existenzbedrohende Probleme wegen der Störerhaftung: Wegen Geldwäsche, Pornografie und Glücksspiel von Dritten innerhalb ihrer Infrastruktur. OpenSim hatte daraus gelernt und eine völlig dezentrale Struktur aufgesetzt. Es ist damit technisch unmöglich, einen zentralen Verantwortlichen zu finden: Die Störerhaftung trifft schlimmstenfalls ein einzelnes Grid, aber nicht das Gesamtsystem. Sowas wird in den Ingenieurwissenschaften "Resilienz" genannt.
Wenn aber jetzt jeder in Haftung genommen werden kann, auf dessen Server unbekannte Dritte irgendwelche Virenangriffe starten, ist ein Hobby-Internet und damit OpenSim nicht mehr möglich. Die wenigsten von uns werden täglich innerhalb weniger Stunden auf irgendwelche Angriffe reagieren können: Sei es, weil sie tagsüber auf der Arbeit sind, oder weil sie außer dem Rechner noch andere Hobbies haben. (Es kommt vor, dass ich wochenlang nicht als "root" auf meinem Server einlogge - ist ja vollautomatisiert das Teil.) Ich sehe hier OpenSource und im Speziellen auch OpenSim in großer Gefahr, falls solches Gedankengut Oberwasser bekommen sollte!
Eure Mareta Dagostino
Beiträge: 7.020
Themen: 774
Thanks Received: 1.349 in 664 posts
Thanks Given: 3.481
Registriert seit: Jul 2010
Hallo Mareta ;D
Muss leider sagen, bin dergleichen Meinung wie du. Aber man kann sich doch gegen Hackerangriffe schützen, wenn man drauf achtet wenn eine Sicherheitslücke auftaucht, dann ein Update einzuspielen oder den Hersteller drauf aufmerksam zu machen ;D
Was OpenSim angeht, da will ich mich nicht so gross dazu äussern, sonst werde ich in der Luft zerrissen *gg Aber nur soviel, bin mir sicher das in der aktuellen Version einige Sicherheitslücken lauern und wir leider nichts dagegen machen können.
(04.12.2016, 23:49)Mareta Dagostino schrieb: ------
Aktuell geistern Ideen durch die Politik, dass es für Geräte, die am Internet angeschlossen sind, einen Verantwortlichen für Hackerangriffe geben soll. In Frage kämen...- Firmware-Hersteller, die dann regelmäßig Updates anbieten müssen.
- Anwender, die innerhalb von einer bestimmten Frist diese Updates einspielen müssen.
- Softwarehersteller, die Sicherheitslücken beheben müssen.
- Anwender, die deren Sicherheitsupdates in einer bestimmten Zeit einspielen müssen.
OpenSource soll gefördert werden, damit kleine Firmen eine Chance haben überhaupt noch Software ans Internet anzuschließen. Da OpenSource aber aus Prinzip keine Haftung übernehmen kann und will, würden nur noch große Konzerne in der Lage sein, unter solchen Bedingungen Software ans Internet anzuschließen.
------
Wenn aber jetzt jeder in Haftung genommen werden kann, auf dessen Server unbekannte Dritte irgendwelche Virenangriffe starten, ist ein Hobby-Internet und damit OpenSim nicht mehr möglich. ..... Ich sehe hier OpenSource und im Speziellen auch OpenSim in großer Gefahr, falls solches Gedankengut Oberwasser bekommen sollte!
Hieran zeigt sich erneut, dass die gefährliche Vollkaskomentalität weiter um sich greift, dieser negativen Entwicklung sollte schnellstens Einhalt geboten werden.
LG Luka
Beiträge: 7.020
Themen: 774
Thanks Received: 1.349 in 664 posts
Thanks Given: 3.481
Registriert seit: Jul 2010
Luka kannst mir das Wort "Vollkaskomentalität" Bitte näher erklären ?
Beiträge: 778
Themen: 42
Thanks Received: 0 in 0 posts
Thanks Given: 0
Registriert seit: Jan 2016
Also ich seh dem gelassen entgegen. Als politisch aktivier Mensch weis ich das nur weil etwas in der Politik diskutiert wird es noch lange nicht beschlossen werden muss. Wenn uns das Internet eines gelehrt hat ist es das es sich nicht regulieren lässt von der Politik. Ich hoffe das mal der Tag kommt an dem das auch Politiker verstehn^^
Beiträge: 411
Themen: 14
Thanks Received: 699 in 254 posts
Thanks Given: 715
Registriert seit: Nov 2011
(04.12.2016, 23:49)Mareta Dagostino schrieb: Aktuell geistern Ideen durch die Politik, dass es für Geräte, die am Internet angeschlossen sind, einen Verantwortlichen für Hackerangriffe geben soll. In Frage kämen...- Firmware-Hersteller, die dann regelmäßig Updates anbieten müssen.
- Anwender, die innerhalb von einer bestimmten Frist diese Updates einspielen müssen.
- Softwarehersteller, die Sicherheitslücken beheben müssen.
- Anwender, die deren Sicherheitsupdates in einer bestimmten Zeit einspielen müssen.
Also, verantwortlich für einen Angriff ist der Angreiffer. Wenn er als Angreiffer deinen Compi, Server, Babyphon, Router verwendet als Mittel zum Zweck des Angriffs dann ist meiner Meinung nach immer och der Angreiffer verantwortlich und nicht der Infrastrukur Besitzer. Wäre ja wie wenn ich verantwortlich wäre wenn jemand mein Auto klaut und damit einen riesen Sachschaden baut. Ich kann meine Sorgfaltspflicht nicht einhalten und beispielsweise den Autoschlüssel stecken lassen, denke aber nicht dass ich deshalb für alle Schäden, die der Dieb, mit meinem auf einfache Weiche kaulbaren Wagen, verursacht, Schadenersatzpflichtig bin.
Autohersteller werden ja auch in die Mangel genommen vom Gesetz und werden kontrolliert ob sie gwisse Vorgaben beispielsweise an Abgaswerten, und Sicherheitsmerklmalen einhalten. Die einzige Industrie welche sich da bis anhin geschickt russchummelt ist die Software Industrie. Lies dir mal die AGB einer x-beliebigen Software an. Da haftet der Hersteller für so ziemlich rein gar nichts. Bei Linux hast üblicherweise keine grosse Firma im Rücken, die du haftbar machen könntest ausser vielleicht Oracle mit ihrem Linux Derivat, das schon im Namen "Unbreakable Linux" Sicherheit vorgaukelt, aber irgendwelche Haftung übernimmt Oracle wohl auch nicht, genau so wenig wie Apple, Microsoft, IBM, HP etc.
Ich hab mir gerade das Buch Global Hack reingezogen. Diese Hacks, die wir gerade mitkriegen sind Kinkerlitzchen gegen das was uns noch erwartet. Und das Schlimme ist, weder Polizei, Strafverfolgung noch die Politik ist darauf vorbereitet und ist schon jetzt auf verlorenem Posten. Deshalb sind so Störerhaftungsdinger bloss ne ganz bilige Ausrede um das eigene Versagen zu vertuschen.
Resilienz ist übrigens eine sehr wichtige Eigenschaft, welche ein Software System haben sollte. Ein System sollte bei einem Teilausfall eingier Systeme nicht zusammenbrechen sondern wichtige Systemleistungen aufrechterhalten können.
Ich denke für uns "Spielwelten-Server-Betreiber" heisst das, dass wir schauen sollten die Systemsoftwar Up-to-date zu halten und eine einigermassen vernünftige Firewall Konfiguration eingerichtet zu haben. Ansonsten verlass ich mich da auch etwas auf die Hosting Provider wie Hetznzer oder Server4you oer wie die alle heissen. Das klappt soiweit auch ganz gut, habe schon Mails erhalten wenn sich ein Server verdächtig verhalten hat.
Beiträge: 7.020
Themen: 774
Thanks Received: 1.349 in 664 posts
Thanks Given: 3.481
Registriert seit: Jul 2010
Hallo zusammen ;D
Das die Oberen keinen Plan von dem ganzen haben, sieht man doch schon beim Internet und den bekannten Spruch von der Merkel, Internet ist Neuland. Die holen sich meist die falschen Leute ins Boot, meist sind es solche die Lobbyismus betreiben, siehe Microsoft. Es gibt in der Wirtschaft und spiziell in Deutschland bestimmt einige gute Experten, die der Politik helfen könnten. Nur diese scheut sich davor, weil das halt alles Geld kostet, dann gehen sie eher mit grossen Konzernen Verträge ein und wundern sich dann, wenn sie gehackt werden, siehe vor paar Jahren, das Netzwerk vom Bundestag ..
Beiträge: 93
Themen: 1
Thanks Received: 6 in 2 posts
Thanks Given: 0
Registriert seit: May 2015
05.12.2016, 17:09
(Dieser Beitrag wurde zuletzt bearbeitet: 05.12.2016, 20:29 von Christoph Balhaus.)
Um die (Hobby)-Server geht es dabei ja auch gar nicht. Das Problem sind die vielen Devices des 'Internet of Things' - die billigen Plastik-Router, Saugroboter, Thermostate und Kameras die im Netz hängen. Jemand der seinen eigenen Server betreibt ist sich bewusst, dass er gelegentlich einmal Updates einspielen oder nach den Logfiles schauen sollte. Nur die Klingel für die Haustür mit Internetanschluss aus dem Baumarkt, auf der ich mich dann mal aus dem Urlaub einlogen kann ist auch ein HTML-Server und solche Geräte werden allzu oft schon mit gravierenden Sicherheitsmängeln ausgeliefert und bekommen garantiert niemals ein Update.
Das führt dann dazu, dass Millionen offener und völlig ungewarteter Geräte im Netz hängen und in dem Fall ist IMHO der Betreiber schon verantwortlich wenn diese missbraucht werden. Problem ist jedoch, dass die Benutzer oft nicht in der Lage sind das zu erkennen aber vor allem auch kein Interesse an mehr Sicherheit haben, solange die Hauptfunktion des Gerätes erhalten bleibt. Die Hersteller selber sind auch nicht an Sicherheit interessiert, denn die kostet Geld und würde die Margen drücken. Wenn die Verursacher einen Teil der Kosten tragen müssten die sie generieren, dann würde sicher auch das Bewusstsein für die Problematik und der Druck auf die Hersteller steigen. Von selber wird sich an der Situation nichts ändern.
Das Problem ist inzwischen durchaus gravierend und bedroht das Internet als Ganzes - mehr sogar noch als Politiker. DDoS Angriffe haben einen Umfang erreicht mit dem auch grosse Unternehmen nicht mehr fertig werden (siehe Akamai oder Dyn in den letzten Wochen) und sind so billig geworden, dass wirklich jeder jede missliebige Webseite aus dem Netz schiessen kann. Davon sind auch wir betroffen - wie zum Beisplel vor einigen Monaten das Great Canadian Grid.
/Chris
Beiträge: 411
Themen: 14
Thanks Received: 699 in 254 posts
Thanks Given: 715
Registriert seit: Nov 2011
(05.12.2016, 17:09)Christoph Balhaus schrieb: Das führt dann dazu, dass Millionen offener und völlig ungewarteter Geräte im Netz hängen und in dem Fall ist IMHO der Betreiber schon verantwortlich wenn diese missbraucht werden. Problem ist jedoch, dass die Benutzer oft nicht in der Lage sind das zu erkennen aber vor allem auch kein Interesse an mehr Sicherheit haben, solange die Hauptfunktion des Gerätes erhalten bleibt. Die Hersteller selber sind auch nicht an Sicherheit interessiert, denn die kostet Geld und würde die Margen drücken. Wenn die Verursacher einen Teil der Kosten tragen müssten die sie generieren, dann würde sicher auch das Bewusstsein für die Problematik und der Druck auf die Hersteller steigen. Von selber wird sich an der Situation nichts ändern.
Das Problem ist inzwischen durchaus gravierend und bedroht das Internet als Ganzes - mehr sogar noch als Politiker. DDoS Angriffe haben einen Umfang erreicht mit dem auch grosse Unternehmen nicht mehr fertig werden (siehe Akamai oder Dyn in den letzten Wochen) und sind so billig geworden, dass wirklich jeder jede missliebige Webseite aus dem Netz schiessen kann. Davon sind auch wir betroffen - wie zum Beisplel vor einigen Monaten das Great Canadian Grid.
Wenn ich ein Auto fahre, reicht eine Prüfung für den Führerschein aus, mit dieser zertifizier ich mich, dass ich die Strassenverkehrsregeln kenne und das Fahrzeug bedienen kann und die Uebersicht im teilweise hektischen Strassenverkehr behalten kann. Eine Pflicht die Mechanik des Autos zu kennen, das Getriebe, den Motor und die Bordelektronik ( auch Software mit beschränkter Sicherheit ) warten zu können besteht nicht. Im Gegenteil, das ist Sache der Garagen. Dasselbe, wenn ich eine LED Leuchte in Betrieb nehme, dann hat die eine CE Zertifizierung, als Hausbesitzer muss ich dann noch alle paar Jahre meine Elektro Installation überprüfen lassen und das wars. Dasselbe mit Fernseher, Videorekorder etc. All diese Geräte hängen schon jetzt im Internet oder werden es in Zukunft. Ich hab keine Ahnung wieviel von der Software geprüft wird, damit ein Fernseher das CE Certifikat erhält, ich nehm an das wird nicht viel sein. Wie gut checkt der TÜV die Software in einem Auto? Gibt es einen TÜV für die Software auf einem Router?
Dass das Problem durchaus gravierend ist, da geb ich Dir durchaus recht. Bloss den Benutzer haftbar zu machen wenn er eine Hausklingel mit Sicherheitsmängeln installiert ist nicht die Lösung. Besser wäre es Hausklingeln ohne Sicherheitsmängel auszuliefern, oder wenigstens mit einem Gütesiegel ( CE oder so ) zu versehen, und wer dann Geräte ohne dieses Siegel einsetzt, der würde dann die Sorgfaltspflicht verletzen.
Just my 2 cents
Beiträge: 778
Themen: 42
Thanks Received: 0 in 0 posts
Thanks Given: 0
Registriert seit: Jan 2016
(06.12.2016, 09:12)Akira schrieb: Eine Pflicht die Mechanik des Autos zu kennen, das Getriebe, den Motor und die Bordelektronik ( auch Software mit beschränkter Sicherheit ) warten zu können besteht nicht. Im Gegenteil, das ist Sache der Garagen.
Hier muss ich dir leider wiedersprechen Akira. Als Autofahrer musst du sehr wohl (Grund) Kenntnisse über die Mechanik des Autos haben. Ist auch ein Teil der Führerscheinprüfung. Also zumindest in Österreich ist es so. Der Führerschein besteht bei uns aus der Praxis (fahren) und der Theorie die sich in Rechtliches (Verkehrsregeln) und Technisches Wissen teilt. Weis nicht wie das in Deutschland ist, könnte mir aber vorstellen das es da ähnlich ist.
|