Skip to content

Wer im Glashaus sitzt, sollte nicht mit Steinen werfen

Ich habe nicht schlecht gestaunt, als ich in meiner geliebten Tageszeitung folgenden Leserbrief zum Thema "Internet-Kriminalität" gelesen habe:

Leserbrief im Trierischen Volksfreund vom 18.04.2020
Leserbrief im Trierischen Volksfreund vom 18.04.2020

Weil man so viel Unwissenheit nicht so stehen lassen kann, habe ich einen Leserbrief als Antwort geschrieben, der aber wohl nicht gedruckt werden wird:

Anders als Herr Stoldt das empfindet, ist das Verhalten von PayPal nachvollziehbar und sogar außergewöhnlich kulant wenn die Belastung ausgebucht worden ist, einmal ungeachtet der Rechtslage (da ich kein Rechtsexperte bin). Herr Stoldt schreibt: "offensichtlich hatte jemand mein Passwort gehackt". Die Frage stellt sich jetzt, wer dafür verantwortlich ist. Wenn man jetzt einmal voraussetzt, dass ich PayPal an den Stand der Technik hält, dann kennt PayPal selbst das Passwort nicht. Wie bitte?

Wie wollen die das prüfen ob es das richtige Passwort ist? Das Verfahren nennt sich "kryptografische Hashfunktion". Das eingegebene Passwort wird eindeutig in eine pseudozufällige Zeichenfolge umgewandelt und diese wird dann auf den Servern gespeichert. Die Methode ist auch nicht umkehrbar, anders als bei einer Verschlüsselung ist aus der Zeichenfolge das Passwort nicht wiederherstellbar. Zudem ist die Kollisionswahrscheinlichkeit, also dass aus zwei verschiedenen Passwörtern die gleiche Zeichenfolge entsteht sehr gering - deutlich kleiner als 1:2^70, selbst wenn man die Kollisionen absichtlich herbeiführen will. Aus den Paypal-Datenbanken kann Herr Stoldts Passwort deshalb nicht erbeutet worden sein.

Auf dem Weg dahin ist auch sehr unwahrscheinlich. Jede Transaktion über Paypal findet über einen Ende-zu-Ende verschlüsselten Kanal zwischen Herr Stoldts Browser und den Paypal-Servern statt, der Shop wird nur über das Ergebnis der Transaktion informiert. Dieses assymmetrische Schlüsselverfahren ist auch mit den kryptografischen Signaturen verwandt und identifiziert auch den Paypal-Server eindeutig im Browser des Kunden. Eine solche Verbindung kann auch nicht umgeleitet werden, wenn im Browser "https://www.paypal.com" angezeigt wird ist ist es auch sichergestellt, dass man seine Angaben auch auf einem echten Paypal-Server eingibt. Wie auch bei den anderen kryptografischen Funktionen ist es zwar auch hier möglich eine Paypal-Signatur zu fälschen, die Trefferwahrscheinlichkeit ist aber mindestens so gering wie bei der Hashfunktion, genauso wie die Entschlüsselung des Inhaltes ohne den passenden Schlüssel.

Dies muss auch so sein, denn wenn ein erfolgversprechender Angriff gegen eine der heute gebräuchlichen kryptografischen Funktionen bekannt wäre, wäre sämtlicher Datenverkehr auf einen Schlag unsicher, die Konsequenzen wären wohl noch weitreichender als es bei Corona für die Zivilgesellschaft ist. Insofern ist es auch irreführend, wenn bei dem Bericht über die Ermittlungen gegen die Cyber-Bunker-Bande von einem "knacken" der Verschlüsselung die Rede ist. Dies ist schlichtweg technisch nicht möglich. Da die Server ja selbst ihren Inhalt auslesen müssen um eine Darknet-Seite anzeigen zu können, handelt es sich vielmehr um die Suche nach dem Schlüssel, das liest sich eben nur langweiliger in der Zeitung.

Es bleiben also nur zwei mögliche Schwachstellen: Der Ausgangsrechner und der Zielrechner. Es ist zwar rein theoretisch denkbar, dass ein Angreifer einen der Paypal-Server mit einer Malware infiziert hat und damit sämtliche Passwörter vor ihrer kryptografischen Behandlung mitlesen kann. Auch wenn das einen sehr unwahrscheinlichen low-level-Zugang auf den Webserver voraussetzt bevor das Programm ihn verarbeitet. Das wäre aus krimineller Sicht der absolute Jackpot und für PayPal ein Weltuntergangsszenario. Deshalb wird das Unternehmen auch deutlich mehr Resourcen auf die Sicherung der Server aufwenden als dies Kriminelle für einen Angriff können.

Ganz anders sieht das auf der Benutzerseite aus: Wir sind ständig allen möglichen Versuchen ausgesetzt, entweder durch Phishing-Mails direkt die Benutzernamen/Passwortkombinationen direkt an Unbefugte weiterzugeben oder über Malware-Infektionen diese Daten bei ihrer Eingabe abzufangen. In seinem Fall haben deshalb die Ermittlungen der Kriminalpolizei nur dann eine Aussicht auf Erfolg, wenn Herr Stoldt seinen Rechner mit dem ganzen Browserverlauf und Email-Verkehr der Polizei zur Verfügung stellen würde - was ein sehr tiefer Eingriff in seine Privatsphäre ist. Sehr wahrscheinlich versteckt sich hier das Datenleck - und dafür kann PayPal aber nichts.

Bevor man deshalb hier eine Wertung zulasten eines Finanztransaktionsdienstleisters vornimmt, sollte man die Hintergrundinformationen kennen. Ich habe mir einen Spaß daraus gemacht, besonders gut gemachte Schadmails zu sammeln. Aber es waren wirklich bisher nur wenige dabei die einer auch nur oberflächlichen Prüfung standhalten würden. Im Zweifelsfall kann man sich immer noch direkt an den Absender (also natürlich nicht auf die Mail antworten) wenden und nachfragen ob diese Mail echt ist - solche Anbieter haben alle eine Spoofing-Abteilung die gerne behilflich ist. Außerdem hat der Gesetzgeber zum Schutz der Laien reagiert und bereits in vielen Bereichen eine Two-Factor-Authentifizierung vorgeschrieben, wo sich also der Benutzer außer der Eingabe von Benutzernamen und Passwort noch über einen zweiten Weg authentifizieren muss, meistens ist dies das Smartphone.

Zum weiteren Verständnis empfehle ich die Online-Vorlesung "Cryptography I" von Dan Boneh, Stanford University. Wer es schafft diesen Stoff zu verstehen fällt sehr sicher auf keine der üblichen Tricks mehr herein.

Trackbacks

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Formular-Optionen

Sie können auch über neue Kommentare informiert werden ohne einen zu verfassen. Bitte geben Sie ihre email-Adresse unten ein.