Datenpanne bei Hetzner - EF nicht direkt betroffen

Beitrag von **Boris Merath** » 08 Okt 2011, 13:56

Nachdem ich gerade per persönlicher Nachricht darauf angesprochen wurde, hier eine kurze Erläuterung in wie weit das Eisenbahnforum von der Datenpanne betroffen ist:

Erstmal zu Hetzner selber: Durch eine Sicherheitslücke waren bei dem Webhostingunternehmen Hetzner zeitweise Kundendaten von außen erreichbar. Das beinhaltet nach aktuellem Stand Daten über die direkten Kunden von Hetzner, darunter Anschrift, möglicherweise Bankverbindung sowie die Zugangsdaten zu den Kundenportalen von Hetzner. Hier muss allerdings zwischen Shared-Hosting und Root-Servern unterschieden werden. Während bei Shared-Hosting die Passwörter im Klartext vorlagen, waren die Passwörter zum Kundenportal für Root-Server-Kunden ausreichend stark verschlüsselt als Hash gespeichert, so dass das Passwort für einen Angriffer nur mit erheblichem Aufwand im Klartext feststellbar war.

Das Eisenbahnforum läuft auf einem beim Hetzner gehosteten Root-Server, damit bin ich als Kunde von Hetzner direkt von der Panne betroffen. Allerdings sind Kunden, die root-Server gemietet haben, relativ ungefährdet, da eben die Passwörter nur in verschlüsselter Form vorlagen. Dass jemand ausgerechnet mein Passwort mit großem Aufwand entschlüsselt hat halte ich für unwahrscheinlich, zumal er bei meinem Passwort mit einem Wörterbuchangriff keine Chance gehabt hätte.

Unabhängig davon - das ist in erster Linie mein persönliches Problem. Direkten Zugriff auf den (laufenden) Server bekommt man über das Kundenportal nicht. Das root-Passwort des Servers, das Hetzner bei der Installation des Betriebssystems festgelegt hatte, wurde von mir direkt nach der Installation geändert - Passwörter zum Zugriff auf den Server lagen Hetzner nicht vor, daher konnten auch keine Passwörter zum Zugriff auf den Server des Eisenbahnforums ausgespäht werden.

Theoretisch hätte ein Angreifer über das Kundenportal den Server in einem Rettungsmodus booten und damit u.U. Zugriff auf den Server bekommen können. Das war allerdings nicht der Fall, der damit verbundene Ausfall bzw. Reboot des Servers wäre aufgefallen.

Daher kann ich mit Sicherheit sagen: Falls die Kundendaten bei Hetzner tatsächlich von einem Angreifer missbraucht worden sind, Zugriff auf den Server des Eisenbahnforums hat er dadurch definitiv nicht bekommen.

##################

Unabhängig davon ein paar Worte zum Thema Passwortsicherheit: Generell muss man jedem Anbieter im Internet misstrauen. Zum einen weiß man bei den wenigsten Betreibern von Internetdiensten, ob diese vertrauenswürdig sind, zum anderen sind Computersysteme heute so komplex, dass selbst mit großer Sorgfalt programmierte Programme häufig zahlreiche Sicherheitslücken aufweisen. Man sieht es an Hetzner - Hetzner ist ein angesehenes Unternehmen im Webhostingbereich. Dass ausgerechnet bei Hetzner so eine Datenpanne passiert erstaunt doch - allerdings glaube ich nicht dass das daran liegt dass Hetzner unsicherer ist als andere Unternehmen, sondern daran, dass Hetzner jetzt einfach Pech hatte.

Daher ist es wichtig, alle wichtigen Accounts mit eigenen Passwörtern auszustatten. Für DSO, das Eisenbahnforum und noch einer Handvoll anderer Foren das selbe Passwort zu nutzen ist jetzt nicht so schlimm - aber für Ebay, das Homebanking oder eben den Kundenbereich bei Hetzner sollte man unbedingt eigene Passwörter nutzen.
Was viele übersehen: Es ist wesentlich, das Passwort des E-Mail-Accounts ausschließlich für diesen E-Mail-Account zu nutzen. Das Eisenbahnforum speichert die Passwörter in verschlüsselter Form - allerdings wäre es rein technisch für mich kein Problem, die Passwörter auch in unverschlüsselter Form zu speichern. Außerdem liegt mir die E-Mail-Adresse vor. Wenn für den E-Mail-Account das selbe Passwort wie im Eisenbahnforum verwendet wird, habe ich als böser Administrator damit Zugriff auf den E-Mail-Account. Mit Hilfe des E-Mail-Accounts könnte ich als böser Administrator damit auch die Passwort-Wiederherstellen-Funktion von anderen Seiten nutzen und dort ein neues Passwort anfordern - selbst wenn dort ein anderes Passwort als im Eisenbahnforum verwendet wird, hätte ich also gute Chancen mir Zugriff zu verschaffen.

Auch wenn ich versichern kann, so etwas nicht zu machen: Ein gesundes Misstrauen gegenüber jedem Dienstanbieter im Internet ist wichtig - also Passwörter zu wichtigen Diensten (und dazu gehört der Mailaccount dazu!) sollten genau einmal verwendet werden - eben genau bei diesem einen Dienst. Gleichzeitig ist man dann auch auf der sicheren Seite, sollte bei dem Dienstanbieter virtuell eingebrochen und die Kundendaten entwendet werden.

Außerdem - so lästig es ist - sollten nur Kombinationen aus Buchstaben und Zeichen verwendet werden. Häufig werden Passwörter geknackt, indem mehrere tausend Wörter aus einem Wörterbuch durchprobiert werden - Computer haben viel Zeit. Solche Passwörter kann man sich leichter merken, wenn man sich zum Beispiel einen Satz ausdenkt, und von diesem Satz jeweils die Anfangsbuchstaben o.ä. als Passwort nimmt.

Bayernlover · Beitrag von **Bayernlover** » 09 Okt 2011, 12:13

Der passende SZ-Artikel dazu:

SZ: Riesige Datenpanne bei deutschem Webhoster

Portugal_Fan · Beitrag von **Portugal_Fan** » 09 Okt 2011, 14:17

Zum Thema "verschiedene Passwörter für verschiedene Seiten" - die dann entspr. schwer auseinander zu halten sind - ein "einfacher" Vorschlag (nicht von mir

Man nehme ruhig immer das gleiche Passwort zB "p1a2s3s4", kombiniere es aber mit der jeweiligen url, die man abkürzt - 1.buchstabe+anzahl zeichen+letzter buchstabe
also zb
e4y-p1a2s3s4 - ebay
e14m-p1a2s3s4 - dieses forum
g3x-p1a2s3s4 - gmx
etc

Solange nicht ein Bösewicht mehrere zusammengehörige Passworte kennt und daraus das "System" erkennt sollte es sicher UND zu merken sein.