Manchmal frage ich mich tatsächlich, weshalb eigentlich immer wieder Unternehmen meinen, auf den Social Media-Zug aufspringen zu müssen. Jüngstes (und für mich herausragend negatives) Beispiel ist Blizzard.

Begonnen hat das Ganze mit den Character-Aktivitäten für World of Warcraft-Spieler. Eine Menge von dem, was der Character eines Spieles online veranstaltet hat, lässt sich im Arsenal nachvollziehen, auf Wunsch sogar per RSS-Feed. Ganz ehrlich: Muss ich nicht haben. Aber das war nur der Anfang…

Wesentlich tiefgreifender finde ich das, was Blizzard mit dem neuen Battle.net Freundschaftssystem einführt:

• Richtige Namen für Freunde Eure Freunde erscheinen unter ihrem richtigen Namen auf eurer Freundesliste, zusammen mit allen Charakteren, die sie spielen. Vorbei sind die Tage, an denen ihr euch merken musstet, welcher Freund welcher ist. Ihr seht die richtigen Namen eurer Freunde auch dann, wenn ihr chattet, im Spiel kommuniziert oder deren Charakterprofile betrachtet.
• Spieleübergreifender Chat Mit dem Freundschaftssystem könnt ihr in allen unterstützten Blizzard-Spielen Spiel-, Realm- und Fraktionsübergreifend mit euren Freunden chatten. Ihr befindet euch in World of Warcraft und sucht nach weiteren Spielern für euren Eiskronenzitadelle-Schlachtzug? Werft einen Blick auf eure Freundesliste, überprüft wer online ist und ihr findet mit Sicherheit einige Gildenmitglieder, die gerade ein gewertetes 2v2-Match in StarCraft II spielen. Mit dem Freundschaftssystem könnt ihr sie leicht erreichen und einladen.
• „Rich presence“-Technologie In eurer Freundesliste stehen euch weitere Informationen über eure Freunde zur Verfügung. Findet heraus, was sie gerade machen sowie welche Spiele und Modes sie gerade spielen, all das in Echtzeit. Ladet den Kumpel, der grade in Dalaran herumsitzt, dazu ein, StarCraft II zu spielen, ohne befürchten zu müssen, dass ihr ihn bei einem Schlachtzug oder einem heißen Gefecht um Tausendwinter stört.
• Seht alle Charaktere eurer Freunde Wenn ihr zustimmt, im Freundschaftssystem mit einem anderen Spieler befreundet zu seine, könnt ihr beide anschließend automatisch jeweils alle Charaktere des anderen in eurer Liste sehen. Dies gilt auch für alle Charaktere, die beide in zukünftigen Blizzard-Spielen erstellen werden, damit verbessert ihr euer soziales Netzwerk und bleibt immer in Verbindung mit den Leuten, mit denen ihr gerne zusammen spielt.

Im Klartext heißt das: Spieler, die auf meiner Freundesliste stehen, wissen alles über mich. Meinen vollen Vor- und Nachnamen, wann ich mit welchem Character in welchem Spiel auf welchem Server online bin und so weiter. Man wird also in Zukunft sehr genau überlegen, wen man auf seiner Freundesliste haben möchte. Privatsphäre ist gelaufen, mal einfach just for fun unerkannt mit einem kleinen Char questen geht nicht mehr. Selbst in einem anderen (Blizzard-) Spiel kann man sich nicht mehr verstecken. In meinen Augen ein Unding. Daher gibts nur eine Konsequenz für mich: eine leere Freundesliste.

Die Krone setzt Blizzard dem Ganzen nun mit seiner gestrigen Ankündigung auf:

„Die erste und wichtigste Änderung ist, dass in naher Zukunft alle Teilnehmer in den offiziellen Blizzard-Foren ihre Beiträge und Antworten mit ihrem richtigen Vor- und Nachnamen verfassen werden. Zusätzlich werden sie die Möglichkeit haben, auch den Namen ihres Hauptcharakters anzeigen zu lassen. Diese Änderung wird zunächst in allen StarCraft II-Foren in Kraft treten, wenn die neue Community-Seite vor dem Erscheinen des Spiels am 27. Juli veröffentlicht wird. Die World of Warcraft-Seite und die zugehörigen Foren werden folgen, wenn das Erscheinen von Cataclysm näher rückt. Bestimmte klassische Foren, wie zum Beispiel die klassischen Battle.net-Foren, werden unverändert bleiben.“

Vielen Dank, das muss ich nicht haben. Mach’s gut Blizzard-Forum, wir hatten eine schöne Zeit. Aber meinen kompletten Namen möchte ich definitiv NICHT im Forum lesen, daher werde ich maximal noch passiver Konsument sein, wenn es denn in Zukunft noch groß etwas zu konsumieren geben wird.

Letztes Wochenende wurde die erste erfolgreiche Man-in-the-middle attack auf Blizzards Authenticator bekannt. Ein WoW-Spieler meldete im Forum einen Account-Hack, der trotz Verwendung des Authenticators erfolgte.

Den Authenticator führte Blizzard vor geraumer Zeit ein, um das weit verbreitete Ausspähen von Accountdaten der World of Warcraft-Spieler zu erschweren und so für mehr Sicherheit zu sorgen. Beim Authenticator handelt es sich um ein bedrucktes DIGIPASS GO 6 von Vasco, einem belgischen Hersteller. Er generiert abhängig von der aktuellen Zeit One-time Passwörter, also Passwörter, die exakt 1 Mal innerhalb eines bestimmten Zeitfensters gültig sind. Das eigentliche Zeitfenster, innerhalb dessen das OTP gültig ist,  ist ungefähr 30 Sekunden groß. Um dieses Zeitfenster herum existiert ein weiteres, etwas größeres Zeitfenster, in dem das OTP nicht mehr gültig ist, aber dennoch akzeptiert wird. Letzteres Zeitfenster hat den Zweck, auch Token, deren interne Uhr nicht ganz genau läuft, verwenden zu können. Auftretende Abweichungen der internen Uhr werden so vom Server erkannt und kompensiert.

Die Gültigkeit eines OTP verfällt automatisch, sobald der generierte Code einmal verwendet wurde. Dies erschwert das Ausspähen von Daten enorm, kann es aber nie ganz verhindern. Üblicherweise werden Accountdaten durch Keylogger ausgespäht, die sich auf dem Rechner des Opfers befinden. Bei der Verwendung statischer Kennwörter gestaltet sich das recht einfach: Die Daten werden ausgespäht, an den Angreifer gesendet und dieser hat nun alle Zeit der Welt, die Accountdaten zu benutzen.

Durch die Verwendung von OTPs wird dieser Vorgang für einen Angreifer erheblich aufwändiger. Zum Einen muss hierbei eine Reaktion durch den Angreifer nahezu in Echtzeit erfolgen, da, wie oben beschrieben, die Gültigkeitsdauer eines OTPs nur wenige Minuten beträgt. Zudem muss der Angreifer verhindern, dass das OTP zum Server gesendet werden kann, da anderenfalls das OTP ungültig würde.

Diese Methoden sind nicht neu, die Gefahr eines solchen Angriffs ist seit langem bekannt und keinesfalls auf Token des Herstellers Vasco beschränkt, alle Token basieren letztlich auf dem gleichen Grundprinzip. Hier irgendeine Verantwortlichkeit beim Hersteller zu suchen wäre also keinesfalls gerechtfertigt. Letztlich bleibt bei jeder Sicherheitsvorkehrung immer ein gewisses Restrisiko erhalten.

Neu ist hingegen, dass ein solcher Angriff erstmalig von einem WoW-Spieler beobachtet werden konnte (musste). Der Spieler versuchte, sich mit seinen Accountdaten und dem OTP im Spiel anzumelden. Unmittelbar nachdem er das OTP eingegeben hatte, crashte der WoW-Client. Und genau in diesem Moment reagierte der Angreifer und loggte sich mit den gerade eben ausgespähten Daten ein. Das deutet darauf hin, dass der eingesetzte Keylogger in Echtzeit kommuniziert. Zudem scheint er die weitere Anmeldung des Spielers zu verhindern, denn Zarakiteque schreibt in seinem Beitrag, dass er sich nach diesem Crash nicht mehr einloggen konnte. Dies gelang ihm erst dann wieder, nachdem er den vermutlichen Schädling auf seinem System identifiziert und unschädlich gemacht hatte. In seinem Fall handelte es sich um eine Datei namens emcor.dll, die sich in seinem Appdata/Temp-Verzeichnis befand.

Blizzard hat inzwischen bestätigt, dass es sich hierbei um eine Man-in-the-middle attack handeln muss und untersucht den Fall, weitere Informationen wird es sicherlich in naher Zukunft geben. Interessant finde ich, dass es sich hierbei offenbar um einen recht neuen Schädling handelt, Virenscanner entdeckten ihn noch nicht und via Google konnte der Spieler nur wenige Tage alte Informationen im Web finden (aktuell führen nahezu alle Suchergebnisse bei einer Suche nach emcor.dll zu Beschreibungen dieses Vorfalls).

Der Fall führt wieder deutlich vor Augen, dass jegliche Sicherheitsvorkehrungen auch umgangen werden können. Es wird sicherlich nie eine Lösung geben, die das Ausspähen von Logindaten (und die anschließende Nutzung) vollkommen verhindern kann. Jede Lösung wird letztlich nur den Aufwand erhöhen, der von einem Angreifer betrieben werden muss. Wenn der Aufwand irgendwann den Nutzen übersteigt, wird ein Angriff möglicherweise uninteressant.

Auch wenn ich es weiter oben bereits schrieb, möchte ich abschließend trotzdem noch einmal darauf hinweisen, dass für derartige Angriffe nicht allein die Produkte des Herstellers Vasco anfällig sind. Die Angriffe sind auch bei Token von RSA oder anderen Herstellern möglich. Vasco steht allein deshalb nun im Rampenlicht, weil dessen Produkte von Blizzard eingesetzt werden. Die Funktionsweise derartiger Token ist immer identisch, demzufolge funktioniert exakt diese hier eingesetzte Methode auch in der Praxis mit jedem beliebigen OTP-Generator sämtlicher Hersteller. Vasco ist hier also kein Vorwurf zu machen.

Dumm wäre es jetzt, OTPs generell abzulehnen, wie es in manchen Foren bereits geschieht. Auch wenn ein Angriff möglich bleibt: Er ist wesentlich schwieriger und mit höherem Aufwand durchführbar, als wenn allein Benutzername und Kennwort genutzt würden. Die Verwendung von OTPs erhöht in jedem Fall die Sicherheit, auch wenn sie Angriffe nicht vollends ausschließen kann. Hier ist (wieder einmal) der Anwender gefragt, der genügend Aufmerksamkeit und zusätzliche Absicherungen aufbringen muss, um das Einnisten eines Schädlings zu vermeiden. Sich allein auf die Verwendung einer bestimmten Maßnahme zu verlassen, reicht eben nicht.

Im übrigen setzen auch Paypal und eBay die Token von Vasco ein, diverse Banken nutzen sie ebenfalls und an vielen Stellen werden Lösungen von RSA eingesetzt. Ich bin gespannt, wann hier die ersten vergleichbaren Vorfälle bekannt werden.

Nachdem bereits sein einiger Zeit gemunkelt wurde, ist es nun also offiziell: Das dritte Addon für World of Warcraft heißt Cataclysm.

MMO-Champion war vorab wieder einmal erstaunlich gut informiert, die geleakten Informationen zum neuen Addon wurden inzwischen bestätigt. Was erwartet also den WoW-Spieler mit Cataclysm?

• 2 neue spielbare Völker: Goblins (Horde) und Worgen (Allianz)
• Anheben des Level-Cups auf 85
• komplett überarbeitete „alte“ Gebiete inkl. der Möglichkeit, in den alten Ländern endlich die Flugmounts nutzen zu können
• neue Gebiete
• neue Raidinstanzen
• neue Kombinationen von Volk und Klasse
• Gildenlevel und -Erfolge
• neue PvP-Gebiete
• neuer sekundärer Beruf Archäologie

Die aufgezählten Punkte sind sicherlich nur die aktuellen Highlights, die Liste bei MMO-Champion ist um einiges länger und sicherlich wird da in nächster Zeit noch einiges mehr bekannt werden. Interessant finde ich persönlich die neuen Möglichkeiten für Gilden. Eine Gilde zu leveln sorgt sicher für interessante Abwechslung, spannend finde ich, dass hier auch Punkte in einem speziellen Talentbaum vergeben werden können. Wie sich das in der Praxis auswirkt wird man sehen. Gildenhäuser bzw. Housing allgemein steht allerdings nach wie vor nicht zur Diskussion.

Sehr schön finde ich, dass die alten Welten wieder mehr einbezogen werden, das Katastrophen-Scenario gefällt mir persönlich besonders gut. Die bisher bekannten Bilder sind auf jeden Fall sehr eindrucksvoll und sorgen bei mir durchaus für Vorfreude. Aber bis zur Veröffentlichung wird ganz sicher noch einige Zeit ins Land gehen und bis dahin gibt es noch einige andere Dinge zu erledigen (Stichwort Eiskronenzitadelle). Ein Veröffentlichungstermin ist jedenfalls noch nicht bekannt, ich tippe auf Anfang 2010.

Zur Geschichte rund um Cataclysm erzählt übrigens der folgende Trailer schon das eine oder andere, die Neuerungen werden ebenfalls kurz vorgestellt.

An verschiedenen Stellen lese ich durchaus schon das übliche Gemecker der WoW-Community. „Halbes Addon“, „die liefern nur das nach, was seit langem gefordert wurde“ und dergleichen. Möglich, dass es so ist, ebenso möglich, dass es ganz anders kommt. Bislang war die Qualität der Addons für mich immer wieder ein Grund, es doch zu kaufen und zu spielen. Daher rechne ich auch für das dritte Addon mit einer Menge Spielspaß für mich und meine Gildies und werde bis zum Release wahrscheinlich in meiner Meinung bestätigt. Wenn nicht, kann ich immer noch meckern 😉

Natürlich hat Winnenden wieder zu der ach so typische Diskussion um Computerspiele geführt. Reflexartik werden altbekannte Parolen aus den Schreibtischen gekramt und der Welt um die Ohren gehauen. Aber nicht allein Killerspiele sind ein Thema, nein, auch die Computerspielsucht wird ausgerechnet jetzt in die Debatte eingestreut.

Wirklich dumm ist dann allerdings, wenn ausgerechnet diejenigen, die derartige Studien verfassen, offenbar selbst in der Schule nicht so ganz aufgepasst haben:

„Der Kriminologe Pfeiffer schätzte die Gesamtzahl der Computerspiel-abhängigen Jugendlichen auf 50.000 bis 60.000 deutschlandweit. 15-jährige männliche «World of Warcraft»-Spieler würden im Schnitt täglich 3,9 Stunden mit dem Spiel verbringen. Damit würden sie mehr Zeit in das Spiel als in ihren gesamten Schulunterricht investieren.“ (Hervorhebung durch mich)

Nun, ein 15-jähriger Schüler besucht in der Regel die 9. Klasse. In der Regel haben Neuntklässler am Tag mindestens 6 Stunden Unterricht (in den meisten Fällen mehr). Eine Unterrichtsstunde ist meines Wissens immer noch 45 Minuten lang. Macht also mindestens 4,5h Unterricht pro Tag. Nicht gerechnet ist die Zeit, die für Hausaufgaben drauf geht.

Angesichts solcher grundlegenden Fehler sind für mich automatisch alle anderen Zahlen innerhalb eines solchen Pamphlets vollkommen unglaubwürdig.