Der wichtigste Sicherheitshinweis, den man immer und überall im Zusammenhang mit Online-Zahlungsverkehr zu lesen bekommt ist: Gib niemals, aber auch wirklich NIEMALS Deine PIN und Deine TAN heraus, es sei denn, Du hast Dich tatsächlich gezielt online bei Deiner Bank angemeldet.

Und was macht Conrad? Präsentiert einen Service namens „Sofortüberweisung„, bei dem ausgerechnet PIN und TAN abgefragt werden. Das schönste in diesem Zusammenhang ist dieses Zitat aus der Beschreibung (Hervorhebung durch mich):

„Bei dem Dienst „Sofortüberweisung“ ist es bisher zu keinen Missbräuchen gekommen (TÜV- zertifiziertes-Online-Zahlungssystem).“

Der Krug geht so lange zum Brunnen… kennen wir ja. Fefe, bei dem ich diesen Hinweis gefunden habe, meint dazu:

„Sagt mir mal: bin ich da zu altmodisch, wenn ich die Idee für eine Katastrophe halte? Vor allem: sie haben da ein Banner, „TÜV Geprüfte Transaktionssicherheit“. Huh? Der TÜV prüft die Transaktionen? Oder hat der TÜV die Idee geprüft und fand sie gut? Kann ich beides kaum glauben.“

Es ist tatsächlich zum heulen. Da versuchen alle, die auch nur ansatzweise Wert auf Sicherheit legen, die Weitergabe von TAN und PIN zu verhindern und Conrad, oder richtiger: die Payment Network AG, ignoriert das glücklicherweise inzwischen gestiegene Sicherheitsbewusstsein und weicht das Ganze auf. Und nicht allein Conrad wickelt die Online-Zahlungen über diesen Dienstleister ab, eine ganze Menge mehr Onlinedienste nutzen offenbar diesen Service, darunter auch das Deutsche Rote Kreuz.

Ganz ehrlich: Ich würde nie im Leben irgendeinem mir unbekannten oder auch bekannten Dienst PIN und TAN übermitteln. Würde mir im Traum nicht einfallen. Und einem Online-Anbieter, der diese Zahlungsmethode anbietet, vertraue ich persönlich nicht. Man mag mich gern paranoid nennen…

Update: Fefe hat ein paar weitere Details veröffentlicht. Auch Banken und Verbraucherschutz warnen im Zusammenhang mit dieser Zahlungsmethode davor, PIN und TAN heraus zu geben.

Wenn ich mir die hysterische Berichterstattung in den Blogs anschaue, die seit gestern rund um Chrome herrscht, dann wird mir ehrlich schlecht. Was wird dem Browser inzwischen schon alles angedichtet: Datenspionage, Keylogger-Funktionalität, speichern der Surf-Historie auf Google Servern, jeder ist eindeutig identifizierbar und anhand dieser Daten werden die besuchten Seiten zugeordnet… Hanebüchener Unsinn!

Versteht mich nicht falsch, ich will jetzt hier keine Lanze für Google brechen, aber ich finde es gelinde gesagt erschreckend, welche Paranoia gepaart mit absoluter Ahnungslosigkeit und Sensationsgier hier zu den unmöglichsten, sachlich einfach falschen Aussagen führt. Deshalb will ich, basierend auf meinen gestrigen Untersuchungen, mal einige falsche Aussagen richtig stellen. Ich werde hier allerdings keinen der Beiträge verlinken, die diese vollkommen haltlosen Aussagen verbreiten.

Aussage 1: Chrome sendet meine eMail-Adresse an Google-Server.

Falsch! In keinem meiner Mitschnitte war auch nur ansatzweise eine Mailadresse zu finden. Ich habe gezielt verschiedene Online-Formulare ausgefüllt (und die dort verwendeten Adressen dann natürlich auch im HTTP-Stream gesehen, sofern die Formulare nicht per SSL übermittelt wurden), darüber hinaus jedoch nichts dergleichen finden können.

Aussage 2: Chrome übermittelt alles, was ich in die Adresszeile tippe, an Google-Server.

Diese Aussage ist nur halb wahr. Richtig ist: Chrome sendet sämtliche Eingaben in der Adresszeile an die voreingestellte Suchmaschine. Und das auch nur dann, wenn die Autosuggest-Funktion aktiviert ist! Ja, es ist ungeschickt, diese Funktionalität als Opt-Out zu gestalten, also in der Grundeinstellung aktiv zu lassen. Allerdings, und da werden mir sicherlich viele zustimmen, das ist es nun mal, was Otto-Normaluser wünscht. Falsch ist definitiv, dass Chrome diese Eingaben immer an Google-Server übermittelt. Die Anfragen werden in jedem Fall nur an die Suchmaschine übertragen, die als Standard eingestellt wurde (bei der Installation wird da auch nachegefragt). Stelle ich hier Yahoo ein, ist keine Kommunikation mehr mit Google-Servern zu sehen, dafür plötzlich jede Menge Verkehr mit Yahoo-Servern. Logisch, wie sollte solch eine Funktion auch anders realisiert werden? Hier aber zu behaupten, alles was man eintippt, landet bei Google, ist sachlich einfach nicht richtig.

Im übrigen passiert exakt das gleiche, wenn man Firefox nutzt. Nicht bei der Eingabe im Adressfeld (hier greift der Firefox ja auf die Browser-Historie zu), aber bei der Eingabe im Suchfeld. Auch hier gehen exakt die gleichen Anfragen übers Netz – zur voreingestellten Suchmaschine.

Verwendet man die Auto-Vervollständigen-Funktion im Chrome, dann wird die letzte, endgültige Eingabe NICHT mehr an die eingestellte Suchmaschine gesendet.

Aussage 3: Google speichert meine Surf-Historie auf seinen Servern.

Ebenfalls vollkommen falsch! Um dies zu realisieren, müsste jeder angeklickte Link zu einem der Google-Server übertragen werden, anderenfalls entgingen Google Unmengen an besuchten Seiten. Dies geschieht jedoch faktisch nicht. Wie in 2. bereits beschrieben, werden lediglich Anfragen an die voreingestellte Suchmaschine gesendet, wenn man etwas in die Adresszeile eintippt und die Autosuggest-Funktion noch aktiv ist.

Aussage 4: Google sendet mit jeder meiner Anfragen eine Identifikationsnummer, anhand derer der Browser eindeutig zu identifizieren ist.

Falsch! Googles eindeutige Identifikationsnummer wird lediglich bei Update-Check durch den GoogleUpdater gesendet. In keiner weiteren Anfrage von Chrome konnte ich sie entdecken. Im übrigen, wie bereits geschrieben: Firefox macht exakt das gleiche (und nahezu jede andere Software auch). Siehe unter anderem auch hier und hier.

Also: sicherlich ist es schön zu sehen, dass das Bewusstsein für Privacy und Datensicherheit steigt. Keine Frage, vor nicht all zu langer Zeit sah das noch vollkommen anders aus. Es ist allerdings nicht mal im Ansatz hilfreich, aufgrund vollkommen falscher Behauptungen eine Hysterie zu erzeugen, so etwas gibt über kurz oder lang sämtliche Bemühungen in dieser Richtung der Lächerlichkeit preis. Denn es ist tatsächlich erschreckend zu sehen, wie uninformiert viele hier in die Diskussion einsteigen: Ein Löwe brüllt es falsch vor (ja, manche Löwen gestehen es selbst immer wieder ein, von der Technik nicht wirklich viel Ahnung zu haben) und die ganzen Kojoten heulen es nach. Sorry, das hilft auf keinen Fall dabei, eine sachliche Diskussion zum Thema zu führen.

Die WISO-Redaktion des ZDF hat offenbar im Rahmen ihrer Recherchen zum Thema Datendiebstahl eine Liste von 56.000 gestohlenen Accountdaten auf einem chinesischen Server entdeckt. In einer bislang so nie stattgefundenen Aktion wurden nun offenbar gestern alle in dieser Liste gefundenen eMail-Adressen angeschrieben und mit der folgenden Mail beglückt:

Hallo, Eigentümer der E-Mailadresse xxxxx,

Sie erhalten diese Mail von uns, weil wir auf einen datenschutzrechtlich problematischen Sachverhalt aufmerksam gemacht wurden, der Ihre E-Mail-Adresse betrifft.

Ihre E-Mail-Adresse und das Passwort *xxxx* (Zu Ihrer Sicherheit wurde das Passwort gekürzt) befinden sich nach unseren Recherchen auf einem im Internet frei zugänglichen, in China beheimateten Server.

Die Daten scheinen aus einem Datendiebstahl zu stammen, die Datendiebe haben versucht, sich mit Hilfe dieser Kombination aus Mail-Adresse und Passwort Zugang zu Online-Bezahldiensten zu verschaffen.

Die Daten selbst stammen nach ersten Erkenntnissen aus einer Datenbank, die nichts mit Finanzdienstleistungen zu tun hat und bei der Sie sich in der Vergangenheit einmal angemeldet haben.

Möglicherweise nutzen Sie diese Kombination aus E-Mail-Adresse und Passwort für weitere Internet-Dienste, etwa für Ihren Mail-Account, zum Anmelden bei Online-Shops oder auf anderen Webseiten. In diesem Fall raten wir Ihnen dringend, auf jeder einzelnen dieser Seiten Ihr Passwort unverzüglich zu ändern, bevor irgendjemand aus dem Vorhandensein dieser Daten im Internet einen Vorteil ziehen kann.

Hinweise zur Verwendung von Passwörtern und für die sichere Passworterstellung erhalten Sie untenstehend.

Diese Mail geht zurück auf Recherchen der ZDF-Sendung WISO, die am Montag den 8. September ausführlich über diesen Datendiebstahl berichten wird. Informationen erhalten Sie spätestens dann auch unter http://www.wiso.de/  Bitte beachten Sie, dass wir keine Einzelfallberatung durchführen können – E-Mails an diese Versandadresse werden nicht beantwortet.

Wir werden die uns vorliegenden Daten nach Ausstrahlung des Beitrags löschen, Sie erhalten keine weitere Mail von uns an diese Adresse (es sei denn, Sie haben sich bei einem ZDF-Informationsdienst angemeldet.) Wir informieren das vom Datendiebstahl betroffene Unternehmen sowie die entsprechende für den Datenschutz zuständige Behörde von dem Vorfall. Allerdings haben wir keinen Einfluss darauf, die auf einem chinesischen Webserver liegenden Daten zu löschen.

Um über die Brisanz des Datendiebstahls qualifiziert berichten zu können bittet Sie die WISO-Redaktion, an einer kurzen Umfrage zum Datendiebstahl teilzunehmen, selbstverständlich anonym (Beachten Sie die Hinweise am Ende der Mail).
Ihre Angaben können dabei helfen, dass die Zuschauer der Sendung für Probleme rund um die Datensicherheit im Internet sensibilisiert werden.
http://vote.wiso.zdf.de/

Mit freundlichen Grüßen

Zweites Deutsches Fernsehen / Redaktion WISO

Solch eine Mail schockiert natürlich zunächst, viele gehen sicherlich auch von einer Phishing-Aktion aus, auch wenn hier typische Phishing-Elemente fehlen. Diese Mail ist allerdings echt. Einerseits bestätigt das inzwischen WISO, andererseits fanden viele Empfänger dieser Mail tatsächlich bis auf 2 ausge-X-te Stellen ihr Passwort in der Mail. Die Daten stammen offenbar aus der Registrierung für einen Online-Service. Robert und der EDV-Blogger haben inzwischen einige Details hierzu zusammen getragen. Es wurde offenbar tatsächlich in mehreren Fällen versucht, sich mit diesen Daten bei Paypal einzuloggen. Da viele Internetnutzer ein und das selbe Passwort für die unterschiedlichsten Online-Dienste verwenden, kann das in einigen Fällen also auch durchaus geklappt haben. Wer diese Mail also ebenfalls erhalten hat, sollte schleunigst sämtliche Passwörter ändern, die er/sie online benutzt.

Die Mail an sich ist äußerst ungewöhnlich, aber durchaus eine gute Idee der Redaktion. Ich persönlich hätte es allerdings besser gefunden, direkt auf eine Informationsseite zu verlinken, statt nur auf eine kommende Sendung zu verweisen und einen Link auf eine Voting-Seite zu setzen. Das hätte der Glaubwürdigkeit gut getan, so wirkte die Mail offenbar für viele als Spam.

Update: Inzwischen ist zu erfahren, dass die Daten bei PricewaterhouseCoopers geleaked sind. In einer Pressemitteilung heisst es unter anderem:

„Das Wirtschaftsprüfungs- und Beratungsunternehmen PricewaterhouseCoopers (PwC) hat heute Strafanzeige gegen bislang unbekannte Daten-Hacker gestellt, die eine externe Servicedatenbank für Jobsuchende angegriffen und dabei Daten gestohlen haben. Diese von einem externen Serviceprovider betriebene Internet-Seite diente interessierten Nutzern zur vereinfachten Erstellung ihrer Bewerbung bei PwC.

Auf die Spur der Hacker kam PwC nach Hinweisen der ZDF-Redaktion Wiso am gestrigen Mittwoch. Unmittelbar eingeleitete Stichproben-Untersuchungen legen die Vermutung nahe, dass die Hacker die gestohlenen Adressen vor allem für Spam-Mails missbrauchen. Darüber hinaus sind E-Mail-Adressen und Passwörter neben Daten aus den Beständen anderer Unternehmen auf einem chinesischen Server aufgetaucht. PwC veranlasste seinen externen Serviceprovider umgehend zur Stilllegung der betroffenen Internet-Seite. PwC hat bereits damit begonnen, alle möglicherweise betroffenen Nutzer direkt über den Vorfall zu informieren und Hinweise zur eigenen Datensicherheit zu geben. PwC hat vorsorglich die Aufsichtsbehörde für den Datenschutz sowie die Berufsaufsicht von dem Hacker-Angriff und den eingeleiteten Sicherheitsmaßnahmen in Kenntnis gesetzt. Das Unternehmen wird die Ermittlungsbehörden in vollem Umfang bei der Aufklärung der Straftat unterstützen.

Nicht betroffen von dieser Hacker-Attacke sind sämtliche Internetangebote, die von PwC selbst betrieben werden. Dazu zählt vor allem der eigene Internetauftritt www.pwc.de. Ebenfalls nicht von der Attacke betroffen sind sämtliche Kunden- sowie alle übrigen Daten von Mitarbeitern und Bewerbern. …“

Keylogger sind ein großes Problem für alle Online-Games bzw. deren Spieler. Die Geschäfte mit Ingame-Gold florieren und der Markt will bedient werden, daher bedienen sich die „Lieferanten“ diverser Tricks, um mit möglichst wenig Aufwand an das virtuelle Zahlungsmittel zu gelangen, welches dann wiederum in bare Münze verwandelt werden soll. Dafür werden dann gern auch schon mal ganze Chargen von Festplatten oder USB-Sticks mit einem Virus ausgeliefert, der dann für diverse Online-Games per Keylogging die Anmeldedaten einsammeln soll.

Blizzard geht nun einen in meinen Augen sehr eleganten Weg, um seine Kunden zu schützen: Sie bieten in Zukunft die Möglichkeit, optional einen Token für die Benutzerauthentisierung zu erwerben. Dieser generiert ein OTP (One Time Password), welches zusätzlich zu den Anmeldeinformationen eingegeben werden muss. Die Token sind dem jeweiligen Account fest zugeordnet und jedes durch diese Token generierte Passwort ist genau ein einziges Mal gültig, Keylogger werden somit ausgehebelt. Selbst wenn nun jemand Anmeldeinformationen mitschneiden kann – das OTP ist inzwischen ungültig und somit klappt die Anmeldung nicht mehr. Dieses Verfahren ist nicht neu, ich selbst habe es schon unzählige Male bei Kunden implementiert und auch für eBay gibt es seit einiger Zeit Token. Lobenswert finde ich aber, dass ein Hersteller eines Online-Games nun diese Möglichkeit für seine Kunden bietet. Sicher, auch OTPs sind nicht die ultimative und unknackbare Lösung, ein gewisses Restrisiko bleibt immer. Aber für mich ein erwähnenswerter Schritt, der den Kunden zudem gerade mal 6,50$ kosten soll.

Ob, wann und zu welchem Preis diese Token auch für deutsche Spieler verfügbar sein werden konnte ich auf die Schnelle nicht feststellen, ich glaube aber nicht, dass Blizzard diese Lösung nur auf den amerikanischen Markt beschränken wird.

Update: Der Token soll in Europa für 6 Euro verfügbar sein lese ich gerade…

Update 2: Inzwischen ist auch die deutsche Version der FAQ verfügbar. Blizzard wird den Token unter der Bezeichnung Blizzard Authenticator demnächst über den Blizzard Shop vertreiben.