Gefahren beurteilen kann so seine Tücken haben

Beim Nachdenken über verschiedene Gefahren und beim Abwägen derselben gegeneinander kann das menschliche Gehirn ziemlich leicht in eine Art „Falle“ geraten. Kennen Sie diese, könnte das bereits Ihr Urteilsvermögen stärken.


Es ist fast so etwas wie ein Hobby von mir, mich mit den verschiedenen Arten zu befassen, wie das menschliche Gehirn bei seiner Arbeit versagen kann, und auch Beispiele für „Versager“ zu finden, nicht zuletzt bei mir selbst. Ich beziehe mich hier auf Phänomene wie Denkfehler, die immer wieder vorkommen, über Dinge, die überraschend häufig missverstanden werden, über eigentliche Denkblockaden, usw.

Ich finde, man kann hier für sich sehr viel herausholen: Wenn man z.B. Denkfehler gut kennt und es dadurch schneller merkt, wenn man gerade selbst einen solchen macht, kann man viele Probleme einfacher bewältigen als andere Leute, die im Extremfall schlicht nicht glauben können, dass ihr Gehirn manchmal krasse Fehler begeht.

Ein interessantes Phänomen ist für mich, welche Probleme Menschen dabei haben können, Gefahren einschätzen.

Manchmal hat man in einer Situation verschiedene Vorgehensweisen offen, die aber alle mit Gefahren verbunden sind, so dass man zwischen diesen abwägen sollte: Man schätze die Grösse aller Gefahren und wähle dann diejenige Vorgehensweise, die mit der kleinsten Gefahr verbunden ist.

Hierbei kann einem allerdings etwas in die Quere kommen: Manche Gefahren kann man sich als Mensch so viel einfacher vorstellen als andere, dass sie wie ein Magnet auf das Gehirn wirken und man beim Abwägen kaum mehr davon loskommt.

Ok, höchste Zeit für ein Beispiel, um zu illustrieren, wovon ich hier überhaupt schreibe:

Für eine Reise kann ich entweder fliegen oder einen Fernbus nehmen. Ich überlege mir die Wahl von den Gefahren her. Eine Gefahr bei einer Reise ist natürlich ein Unfall. Ich stelle mir also auf der einen Seite einen Flugzeug-Absturz aus 10’000 Metern Höhe vor, und auf der anderen Seite eine Kollision des Fernbuses mit einem LKW.

Sehen Sie, worauf ich hinauswill? Die Vorstellung, in einer Metallkiste 10 Kilometer vom Himmel zu stürzen und dann am Boden zu zerschellen, wobei zu allem Übel der Absturz noch eine Weile dauert und ich also auf den Tod warten muss, ist einfach so viele Male schrecklicher als die Vorstellung eines Busunfalls.

Das macht es sehr schwierig, die grossen Unterschiede der Wahrscheinlichkeiten der beiden Unfall-Arten gebührend mit zu berücksichtigen: Der leicht vorstellbare Horror eines Flugzeugabsturzes wirkt tatsächlich wie ein Magnet auf das Gehirn, so dass Logik und Urteilsvermögen einen sehr schweren Stand haben.

Nicht umsonst ist Flugangst ein bekanntes Phänomen mit einer gewissen Verbreitung, aber Bus-auf-Autobahn-Unfall-Angst meiner Meinung nach so gut wie unbekannt.

Gibt es dieses Problem auch in der IT-Sicherheit? Ich denke ja, und ich glaube, ich habe ein konkretes Beispiel:

Wenn sich heute jemand die verschiedenen Optionen anschaut, wie er mit seinen zahlreichen Passwörtern umgehen will, kommt er bei Passwort-Managern vorbei und bei der Tatsache, dass er bei deren Einsatz alle seine Passwörter auf einen einzigen Haufen legt.

Und hier sehe ich sie nun, die Gefahr, die für ein menschliches Gehirn einen solchen Magneten darstellt, dass man kaum mehr weiterkommt mit dem Evaluieren aller Möglichkeiten. Es ist glasklar: Gibt’s irgend ein Problem mit meinem Passwort-Manager, sind gleich sämtliche Passwörter weg.

Das ist für mich das IT-Sicherheits-Äquivalent eines Flugzeugabsturzes!

Ich habe schon Threads gelesen in Foren, wo man über Passwort-Manager diskutierte und schon nach kurzer Zeit intensiv gestritten wurde darüber, wie doof man denn sein muss, dass man auch nur in Erwägung zieht, alle seine Eier (Passwörter) in einen einzigen Korb (Passwort-Manager) zu legen, was die Vorteile, die Passwort-Manager haben, und die Nachteile einer „händischen“ Verwaltung von Passwörter, an den Rand drängte.

Ich hoffe jetzt nicht, dass ich Sie so von Passwort-Managern überzeuge, und wenn Sie Flugangst haben sollten, werden Sie diese Ausführungen natürlich auch nicht einfach so kurieren. Aber ich hoffe, wenn Sie jetzt dank diesem Blog-Eintrag schneller merken, dass Sie ein solcher „Magnet“ anzieht und Sie aktiv gegensteuern können, ist etwas gewonnen.

Advertisements

Wenn das Opfer den Betrüger betrügt

Über eine Möglichkeit, Internet-Betrügern das Leben schwerer zu machen, die im Prinzip jedermann offensteht, aber nicht ungefährlich und auch einigermassen anspruchsvoll ist


Hat Sie auch schon die Lust gepackt, es diesen elenden Spam-Mail-Versendern mal so richtig heimzuzahlen? Oder betreuen Sie aus dem Internet erreichbare Server und überlegten sich, wie man gegen die Roboter zurückschlagen könnte, die ohne Ende Passwörter durchprobieren für Ihren SSH-Dienst auf Port 22? Oder erkannten eine Website gerade noch so als Fake- und Phishing-Ding und hätten am liebsten einen Versuch gestartet, in den betreffenden Server einzubrechen und alles zu löschen?

So verständlich und so natürlich derartige Gefühle sind: Mir ist im Verlaufe meiner bisherigen IT-Security-Ausbildung klar geworden, dass es für eine Privatperson in fast allen Fällen keine Möglichkeit gibt, auf eigene Faust irgendwie erfolgreich „zurückzuschlagen“.

Und selbst wenn, gibt es da noch die kleine Sache mit den Gesetzen, die ziemlich stark einschränken, was man machen darf, ohne selbst kriminell zu werden: Digitale Selbstverteidigung mit dem Argument Der hat zuerst geschossen ist nicht.

Es gibt allerdings eine Ausnahme, und die gefällt mir auch nach Jahren immer noch so gut, dass ich hier unbedingt davon berichten muss:

Wenn jemand versucht, Sie per E-Mail mit irgendeiner Masche hereinzulegen, können Sie antworten und den Eindruck erwecken, Sie hätten angebissen, dabei aber versuchen, die Sache so weit wie möglich in die Länge zu ziehen: Stellen Sie immer neue Rückfragen, bringen Sie Alternativ-Vorschläge zur Abwicklung des Geschäfts ins Spiel, machen Sie Zusagen und halten diese dann mit irgendwelchen Entschuldigungen doch nicht ein, usw.

Was bringt das? Nun, wenn Sie sich dabei geschickt anstellen, wendet der Betrüger eine Menge Zeit auf, um sich mit Ihnen herumzuschlagen, immer in der Hoffnung, dass am Schluss etwas bei Ihnen herauszuholen ist – Zeit, die dann bei der Suche nach neuen Opfern weggeht.

Man nennt so etwas auf Englisch Scam Baiting, wie in diesem Wikipedia-Artikel erklärt. Es gibt hierzu ganze Communities von Leuten, die sich untereinander austauschen und sich Tipps geben. Die bekannteste davon ist wohl 419 Eater. Auf Deutsch habe ich das Forum Scambaiter-Deutschland gefunden.

Schön ist auch die Liste 10 Great Scam Baiting Operations.

Das Ganze ist allerdings keineswegs ein einfaches und harmloses Vergnügen. Sie treten dabei ganz direkt in Kontakt mit Kriminellen, und auch wenn die wohl meistens ziemlich weit weg z.B. in Nigeria sitzen, dürfen solche Leute trotzdem Ihre wahre Identität und persönliche Informationen über Sie nicht in die Hände bekommen – das wäre einfach zu gefährlich.

Und man sollte diese Leute generell nicht unterschätzen: Die wissen auch, dass Scam Baiters unterwegs sind und dürften entsprechend misstrauisch und vorsichtig sein. Das arglose und einfach etwas schusselige Opfer glaubhaft zu spielen ist vermutlich nicht so einfach!

Kryptologen gegen Hacker: Wer gewinnt?

Ein paar der Ferienzeit angemessen eher lockere Überlegungen über den Kampf zwischen den Kryptologen, die Dinge mittels Verschlüsselung absichern wollen, und den Hackern, die Verschlüsselungen zu überwinden versuchen, mit Ausblick auf das Jahr 2100


Das Knacken einer Verschlüsselung ist ein beliebtes Story-Element für Filme, denn es lässt sich sehr einfach Spannung damit aufbauen: Schafft es der Held (oder die Heldin natürlich), die Verschlüsselung rechtzeitig zu überwinden?

Dieses Story-Element kam auch in einem Science-Fiction-Film vor, den ich mir kürzlich ansah, und natürlich wurde die fragliche Verschlüsselung tatsächlich geknackt. Meine spontane Reaktion hierauf war: Was für ein hanebüchener Unsinn!

Sagen wir, die Handlung spielt im Jahre 2100: Man will mir also weismachen, dass es selbst mit über 80 Jahren Weiterentwicklung die Kryptologen nicht geschafft haben werden, eine absolut sichere Verschlüsselung zu entwickeln?

Schon klar, dass eine solche natürlich die spannende Handlung kaputtmacht, aber ich finde eben Science Fiction umso besser, umso realistischer sie ist, und dass es selbst in der fernen Zukunft noch genügen soll, einfach irgendein Entschlüsselungsprogramm oder -Werkzeug bedienen zu können, um zu gewinnen, fand ich einfach daneben.

Aber dann kam ich ins Grübeln. Ist es wirklich so klar, dass in diesem Rennen die Kryptologen die Nase vorne behalten, oder dass sie einmal sogar einen überzeugenden Sieg davontragen?

Als ich etwas weiter darüber nachdachte, kam ich zu folgendem Schluss: Was die Theorie und die Algorithmen angeht, haben die Kryptologen bereits gewonnen: Moderne Verschlüsselungsverfahren, richtig implementiert und richtig angewendet, sind praktisch unknackbar.

Aber natürlich kann man jede Menge Fehler machen, wenn man diese Verfahren in Form von Code realisiert, und wenn man die entsprechenden Programme zum Einsatz bringt. Und es sind dann genau diese Fehler, welche den Angreifern den Erfolg ermöglichen, trotz der eigentlich unüberwindbaren Verschlüsselung.

Ein interessantes Beispiel hierfür ist der Schutz im WLAN gegen das Mithören des Funkverkehrs durch Dritte:

Ich hatte mich im Rahmen meiner IT-Security-Ausbildung darauf gefreut zu lernen, welche Methoden es gibt, um in Wi-Fi-Netzwerke einzubrechen, und hatte mir sogar einen WLAN-Dongle gekauft, der gut mit entsprechenden Tools in Kali Linux zusammenarbeitet, um die WLANs der Umgebung auf ihre Sicherheit abzuklopfen.

Wie sich herausstellte, brauchte ich mir keine Sorgen zu machen, plötzlich verbotenerweise irgendwo mitzuhören: Ich fand weder hier in der Megos noch bei mir zuhause irgendein WLAN, das auf offensichtliche Weise unzureichend geschützt war.

Kommt in einem WLAN das bereits ziemlich in die Jahre gekommene und schwache Verschlüsselungsprotokoll WEP zum Einsatz, kann man relativ schnell einbrechen, aber den Fehler, dieses Protokoll einzusetzen, macht offenbar kaum mehr jemand.

Ein weiteres mögliches Sicherheitsproblem ist aktiver Wi-Fi Protected Setup, abgekürzt WPS, denn gewisse Geräte erlauben es, die bei diesem Protokoll unbekannten 4 Stellen einer PIN innerhalb einiger Stunden „brute-force“ durchzuprobieren.

Aber die Anzahl Geräte, die das einfach so mit sich lassen machen statt das wie wild abfragende Gerät nach kurzer Zeit auf eine schwarze Liste zu setzen und ab da zu ignorieren, dürfte stetig abnehmen, und viele Geräte haben natürlich dieses Feature erst gar nicht aktiv.

Bleibt als drittes und bereits letztes mögliches Sicherheitsproblem ein zu kurzes oder ein zu einfach erratbares Passwort (PSK, pre-shared key) für WPA bzw. WPA2. Bei einem „brauchbaren“ Passwort ist WPA2 so sicher, dass sich Hacker mit grosser Wahrscheinlichkeit die Zähne daran ausbeissen.

Fassen wir zusammen: WEP aus, WPS aus, WPA2 an, gutes Passwort für WPA2, und schon haben nach heutigem Wissensstand Hacker praktisch keine Chance mehr, in das entsprechende WLAN einzubrechen. Und nein, auch irgendwelche mythischen Weltklasse-Hacker nicht.

Ich sehe hier genau meine These bestätigt: Richtig angewendet ist Verschlüsselung bereits heute nicht mehr zu knacken, aber man kann bei Implementation, Konfiguration und Handhabung Fehler machen, welche die ganze Sicherheit wieder zum Einsturz bringen. Und gut möglich, ja vielleicht sogar wahrscheinlich, dass das im Jahre 2100 auch noch sein wird!

Vorsicht mit Handys, wenn Sie Feinde haben

Anfang Jahr haben Kriminelle in Deutschland Telebanking-TAN-SMS zu sich umgeleitet und so Geld gestohlen. Wann werden solche SMS-Umleitungen sicher nicht mehr möglich sein? Nun ja, in 10 Jahren vielleicht.


Auf der Suche nach dem Thema für meinen nächsten Blog-Eintrag habe ich mich erinnert, dass vor einigen Wochen mal was war mit Sicherheitslücken in Zusammenhang mit Mobilfunknetzen, welche es Kriminellen erlaubt haben, Geld von Bankkonten abzuheben, durch Abfangen von SMS mit TANs. (Über diese Geschichte wurde z.B. hier in der FAZ berichtet.)

Ich dachte mir, schauen wir mal nach, wie es mit diesen Sicherheitslücken weiterging: Sind sie unterdessen geschlossen?

Bevor ich Ihnen meine Schlüsse schildere und Sie diese allzu schnell in eine „Schublade“ stecken, möchte ich zwei Dinge vorausschicken: Ich gebe mir erstens Mühe, Angstmacherei zu vermeiden, weil ich diese Taktik überhaupt nicht gut finde. Und ich gebe mir zweitens Mühe, keine Verschwörungstheorien aufzustellen, sondern nur Meinungen zu vertreten, die ich argumentieren und mit Informationen brauchbarer Qualität unterlegen kann.

Aber zur Sache: Der Kern des Problems besteht im Protokoll namens SS7 (in Wikipedia hier beschrieben), das praktisch alle Mobilfunkfirmen weltweit verwenden, um Dinge wie Roaming, Anrufweiterleitungen und Informationsabfragen über Teilnehmer durchzuführen, und dem Zugriff auf das Netz, über welches die Anfragen und Antworten in diesem Protokoll laufen.

Zugriff auf dieses Privatnetz bekommt man nicht einfach so, aber wenn man mal drin ist, kann man offenbar im Prinzip machen, was man will. Das System arbeitet (immer noch) fast ausschliesslich nach dem Prinzip Jeder traut jedem und Jeder darf alles.

Wenn also aus irgendeiner beliebigen Ecke der Welt eine SS7-Anweisung an die Swisscom gelangt, Anrufe und/oder SMS an meine Handy-Nummer bitte umleiten, dann wird nicht gezögert oder irgendwie rückgefragt, sondern eben umgeleitet.

Hintergrundinformationen hierzu finden Sie z.B. bei Heise hier.

Zugriff scheint man sich mit 10’000, 20’000 Euro erkaufen zu können, und wenn einem das zu teuer ist, kauft man eben im Darknet einzelne Leistungen ein von „hilfsbereiten“ Leuten, die Zugriff haben, z.B. eine Handy-Standortbestimmung für so 200 Euro, wie man hier nachlesen kann.

Die passende SS7-fähige Software ist noch viel weniger ein Problem, da kostenlos und Open Source.

Eintrittskarte ist also jeweils nur etwas Kleingeld und die Nummer des Handys, auf das man es abgesehen hat.

Die Mobilfunk-Branche ist zwar daran, SS7 durch neuere und sicherere Protokolle abzulösen, aber wenn etwas so lange besteht und weltweit so verbreitet ist wie SS7, dauert das eben seine Zeit. Es gibt Schätzungen, dass es noch 10 Jahre dauern könnte, bis es endgültig ausser Betrieb geht.

Was heisst das jetzt konkret für mich als Handy-Anwender? Ich sehe das nach meiner Analyse so:

SS7 scheint nicht geeignet, um ungezielte Angriffe auf grosse Massen von Leuten zu fahren, wie es z.B. bei den Erpressungstrojanern der Fall ist. (Auch für die in der Einleitung erwähnten TAN-Klauer war es mit dem Umleiten der SMS nicht getan, sie brauchten zusätzlich Zugriff auf die PCs ihrer Opfer.)

Wenn hingegen jemand, aus welchen Gründen auch immer, etwas gegen mich persönlich hat und gezielt mich angreift, muss ich vorsichtig sein beim Gebrauch meines Handys und tatsächlich damit rechnen, dass ich abgehört werde. Mittlerweile dürfte auch klar sein, dass hierbei die Marke meines Geräts und dessen Betriebssystem völlig egal sind.

Was SMS-basierte Sicherheitssysteme wie eben Telebanking-Zugriff via TAN betrifft, kann man seine Angriffsfläche um einiges vermindern, wenn man für den Empfang der SMS ein separates Handy einsetzt, dessen Nummer man möglichst geheimhält. Seien Sie dann aber vorsichtig, wem Sie das erzählen, man will ja nicht als Aluhut-Träger dastehen, nicht?

Lang ist besser als kryptisch

Eine nicht unbedingt spannende, aber dafür selbst für ziemliche Mathe-Muffel geeignete Erklärung, warum bei Passwörtern die Länge viel mehr Gewicht hat als der verwendete Zeichenvorrat


Ich versuche heute mal, eine wichtige Tatsache über Passwörter zu erläutern, die man zwar andernorts auch schon findet, aber oft ziemlich abstrakt erklärt oder nur mit Hilfe von Mathematik, die vielleicht nicht jedermanns Sache ist und nicht unmittelbar einleuchtet. (Leser, denen Entropie bereits etwas sagt, werden sich aber vermutlich langweilen…)

Ich arbeite im folgenden mit einem Szenario, in dem ein Angreifer versucht, Ihr Passwort zu „knacken“: Er hat die Möglichkeit, ungehindert beliebig schnell beliebig viele Passwörter zu prüfen, bis er das richtige „trifft“. (Diese Möglichkeit besteht in der Realität natürlich längst nicht immer, aber leider häufiger, als einem lieb ist.)

Nehmen wir für dieses Szenario weiterhin an, Ihr Passwort sei nicht leicht zu erraten: Sie haben nicht den Fehler gemacht, eines der häufigsten wie z.B. 123456 oder qwertz zu wählen, oder eines, das nur aus einem gebräuchlichen Wort wie z.B. todsicher besteht. Die Bedingungen seien so, wie es bei einem guten Passwort eigentlich immer der Fall sein sollte, dass Ihr Angreifer gezwungen ist, alle überhaupt möglichen Passwörter durchzuprobieren, wenn er einigermassen sicher Erfolg haben will.

Es dürfte einleuchten, dass ein Passwort umso sicherer ist, umso aufwendiger das Durchprobieren aller Möglichkeiten ist: Im Idealfall sollte das so unheimlich lange dauern, dass es eigentlich gar keinen Sinn macht, es überhaupt zu versuchen.

Wovon hängt es ab, wie lange man probieren muss?

Beginnen wir die Analyse mit einem Extremfall: einem einstelligen Passwort.

Um ein solches zu erraten, brauche ich nur alle möglichen Zeichen durchzuprobieren: Eines davon muss das einstellige „Passwort“ sein. Wenn ich mich auf Ziffern beschränke, ist nach spätestens 10 Versuchen das Geheimnis gelüftet. Nehme ich aber noch normale Buchstaben hinzu (gross und klein), braucht es im Maximum schon 10+26+26 = 62 Versuche.

Man sieht also, wenig überraschend, dass der Zeichenvorrat eine Rolle spielt.

Wechseln wir zu einem zweistelligen Passwort. Die Menge aller möglichen Passwörter wächst an auf die Anzahl möglicher Kombinationen von 2 Zeichen. Man berechnet diese, indem man die Anzahl möglicher Zeichen einmal mit sich selbst multipliziert: Mit Ziffern und normalen Buchstaben gross und klein sind wir bei 62*62 = 3’844.

Man sieht, immer noch nicht überraschend, dass die Länge auch eine Rolle spielt.

Wir nähern uns allerdings der Frage, um die es mir in diesem Blogeintrag geht: Was hat für die Güte eines Passworts mehr Gewicht, die Grösse des Zeichenvorrats oder die Anzahl Zeichen eines Passworts?

Spielen wir hierzu ein bisschen. Nimmt man zu den erlaubten Zeichen noch 10 Sonderzeichen hinzu, sagen wir +“*%&/()=?, gibt es 72 mögliche einstellige und 72*72 = 5’184 zweistellige Passwörter. Ist doch nicht schlecht, oder? Die Anzahl zweistelliger Passwörter hat sich mit nur 10 erlaubten Zeichen mehr fast verdoppelt.

Aber nicht so schnell: Selbst mit nur den 10 Ziffern als lächerlich kleinem Zeichenvorrat brauche ich lediglich 2 Stellen mehr, also 4, um mit 10’000 möglichen Passwörtern diese 5’184 zu toppen. Mit 2 Stellen müssten Sie ganze 28 weitere Sonderzeichen hinzunehmen, die gar nicht so einfach zu finden wären, um auf 100 erlaubte Zeichen zu kommen und hier mitzuhalten.

Wollten Sie mit einem zweistelligen Passwort gegen ein fünfstelliges rein numerisches antreten (von denen gibt es schon 100’000), müssen Sie wohl schon Smileys oder andere exotische Dinge für Ihre Passwörter zulassen, denn ein Vorrat von über 300 Zeichen wäre gesucht.

Zweistellige Passwörter sind natürlich unrealistisch und in der Praxis völlig ungeeignet, aber was ich Ihnen hier vorrechne anhand derselben, setzt sich tatsächlich fort in die Region akzeptabler Passwörter: Länge schlägt Zeichenvorrat um, nun ja, Längen!

Mindestens 1 Ziffer, 1 Grossbuchstabe und 1 Sonderzeichen nötig. Sie kennen sicher auch Systeme, die solche und ähnliche Regeln erzwingen. Das nervt und erfordert Passwörter, bei denen durchaus brauchbare Tricks wie Alle ersten Buchstaben eines Satzes (wie z.B. hier bei Mozilla erläutert) nicht funktionieren, die je nach verwendetem Zeichenvorrat selbst zwanzigstellige von Passwort-Managern generierte Hochsicherheits-Passwörter ablehnen, die auf einem Smartphone umständlich einzugeben sind, und bei denen man im Urlaub auf einem Computer mit einer anderen Tastaturbelegung schon mal die Nerven komplett verlieren kann.

Den Vogel schiessen für mich diejenigen Systeme ab, die zwar Sonderzeichen einfordern, aber dann nicht alle solchen zulassen…

Wie wir gesehen haben, wären diese Systeme eigentlich viel besser beraten, Sie stattdessen in Richtung längerer Passwörter zu schubsen.

Von Münz-Blasen und Glücksrittern

Sind Sie am Überlegen, ob Sie beim „Schürfen“ von Kryptowährungen auch mitmachen wollen? Wenn ja, mein Rat an Sie: Lassen Sie es bleiben. Das Stichwort ist Bubble.


Die meisten Kryptowährungen kann man schürfen: Man lässt hierfür auf seinem Computer spezielle Programme laufen, die entweder mit Hilfe der CPU oder des Prozessors der Bildschirmkarte möglichst schnell eine Art mathematischer Puzzles lösen, und wird dafür in der jeweiligen Kryptowährung bezahlt.

Weil die Kurse dieser Kryptowährungen gegenüber „normalen“ Währungen in den letzten Monaten stark zugenommen haben, lohnt sich dieses Schürfen mehr als früher, und es kommt momentan ziemlich in Mode. Gewisse Bildschirmkarten, die sich speziell gut hierfür eignen, werden knapp (siehe z.B. hier), und sogar der altehrwürdige Heise-Verlag veröffentlicht im Moment Artikel mit Anleitungen zum Kryptowährungen-Schürfen (siehe hier).

Schauen wir uns das mit den Kursen der Kryptowährungen einmal genauer an.

Folgende Grafik, die ich bei CryptoCurrencyChart.com geklaut habe, zeigt die Kursentwicklung von Bitcoin gegenüber dem US-Dollar in den letzten anderthalb Jahren:

Bitcoin-Kurs

Bitcoin-Kurs

Man sieht hier, dass es bis etwa Anfang 2017 ziemlich ruhig war, mit einem relativ langsam steigenden Kurs, dass es aber dann ziemlich rasant nach oben ging, zuletzt auf einen Kurs, der um Faktoren höher ist als vor 1 Jahr.

Gut, Bitcoin ist momentan in aller Munde, nicht zuletzt dank den grassierenden Erpressungstrojanern, und ist nach wie vor der Platzhirsch unter den Kryptowährungen. Sehen wir uns deshalb die Nummer 2 an, Ethereum bzw. genauer den Kurs der Währung Ether:

EtherKurs

Ether-Kurs

Ausser, dass der Kursanstieg seit etwa Anfang 2017 noch extremer ist als bei Bitcoin, sieht die Kurve ziemlich ähnlich aus.

Haben wir hier schon einen Trend? Nehmen wir noch Monero hinzu, welches im Ranking der Kryptowährungen so um den Platz 10 pendelt:

Monero-Kurs

Monero-Kurs

Tja, ausser dass Monero mit dem Kursanstieg etwas früher dran war, schon wieder dasselbe grundsätzliche Bild. Für mich sind diese sehr ähnlichen Kurven nur schwierig mit Ereignissen speziell rund um die jeweiligen Währungen zu erklären; vielmehr scheint mir ein allgemeiner Kryptowährungs-Boom vorzuliegen.

Versuchen wir herauszufinden, wieweit dieser Boom geht, wenn es denn einer ist. Schnappen wir uns eine Währung, die auf Rang 478 steht jetzt, wo ich diesen Blog-Eintrag schreibe (wussten Sie überhaupt, dass es so viele Kryptowährungen gibt?), die stolze Deutsche eMark.

Auch wenn der Name gut ist, und die Website Hochglanz, ist diese „Mark“ keine 3 Cents wert, nur sehr eingeschränkt liquide, und bei einem Blick auf GitHub muss man befürchten, dass die Entwickler der Software für diese Währung (es sind nur eine Handvoll) nicht vom Fleck kommen. Man findet in einschlägigen Foren öfters die abschätzige Bezeichnung Shitcoin für so etwas:

Deutsche-eMark-Kurs

Deutsche-eMark-Kurs

Für mich ist damit der Fall klar: Hier liegt eine klassische Bubble vor, eine Spekulationsblase, bei der die Kurse noch schneller wieder fallen können, als sie jetzt innert kurzer Zeit um den Faktor 10 gestiegen sind.

Es ist schwierig zu sagen, ob die Abwärtsbewegungen am Ende aller 4 Kurven schon das Platzen der Blase ankündigen, oder ob sie nur etwas weniger blubbert, wenn die Leute in die Sommerferien gehen, und dafür im Herbst neue Kursrekorde anstehen. Aber so etwas kann auf Dauer einfach nicht gutgehen.

Selbst bei hohen Kryptowährungskursen und günstigem Strom dauert es mit Schürfen einige Monate, bis man den Kauf einer High-End-Grafikkarte amortisiert hat und wirklich vorwärts macht. Es ist für mich sehr fraglich, ob Sie diese Zeit haben werden.

Aber hey, wenn es vorüber ist, gibt es vielleicht eine Menge supergünstiger gebrauchter Bildschirmkarten auf dem Markt!

IT-Sicherheit für Normalsterbliche

Wenn Sie es schaffen, trotz immer neuer Meldungen zu Sicherheitslücken cool zu bleiben, ist dieser Blog-Einträg wohl nur mässig interessant für Sie. Wenn Sie allerdings daran sind, eine Sicherheitslücken-Depression zu entwickeln, habe ich etwas aufbauende Motivation für Sie, nicht aufzugeben.


Stellen Sie sich Buzz Lightyear aus dem Film Toy Story vor, wie er zu Woody sagt: Sicherheitslücken! Sicherheitslücken, überall! (in dieser Meme-würdigen Pose).

Es hat ja doch alles keinen Sinn beschreibt vielleicht am ehesten das Gefühl, das viele Leute beim Thema IT-Sicherheit haben: Es vergeht kein Tag, ohne dass sich wieder ein neues Programm als löchrig wie ein Schweizer Käse herausstellt, oder dass ein Programm trotz gefühlten 100 bereits installierten Updates schon wieder ein Update braucht, weil eben nochmals eine neue Sicherheitslücke zum Vorschein gekommen ist.

Wenn man sich näher mit dem Thema befasst, wie ich das gerade tue, wird dieses Gefühl von Machtlosigkeit und Hilflosigkeit gegenüber Sicherheitsproblemen auch nicht unbedingt besser. Ich habe mir kürzlich das „Einbruchswerkzeug“ Metasploit angesehen, speziell die Methoden, unter denen man auswählen kann, um Computer-Systeme aus der Ferne zu kapern, die sogenannten exploits: Es sind hunderte!

Schafft man es unter diesen Umständen überhaupt, ein brauchbares Level an Sicherheit für sich zu erreichen? Ich befürchte, viele Leute beantworten mittlerweile diese Frage für sich mit Nein. Sie schmeissen mehr oder weniger den Bettel hin und sagen sich: Was soll ich mich anstrengen, wenn ich sowieso früher oder später gehackt werde?

Hierzu möchte ich Ihnen eine Erkenntnis aus meiner Beschäftigung mit dem Thema weitergeben, die Ihnen vielleicht so noch nicht bewusst ist, und die Ihnen dabei helfen kann, eben nicht aufzugeben:

Tägliche Sicherheits-Horror-Schlagzeilen hin oder her: Die grosse Mehrheit der Angriffe, die heute gefahren werden, sind nicht besonders raffiniert und dadurch eigentlich recht einfach abzuwehren.

Was hilft gegen den „handelsüblichen“ Erpressungs-Trojaner? Ja genau, den fraglichen Mail-Anhang einfach nicht anklicken, und gut ist. Das kriegen Sie hin! Und welche Heldentaten waren nötig, um den fiesen WannaCry abzuwehren? Man musste es schaffen, bis Anfang Mai die März-Sicherheits-Patches von Microsoft einzuspielen. Das ist machbar, oder?

Und jetzt muss ich noch den alten Witz hervorkramen von den zwei Kollegen, die versuchen, vor einem Löwen wegzurennen, und der eine den anderen verzweifelt fragt: Was rennen wir überhaupt? Wie sind ja doch nicht schneller als der Löwe. Sie erinnern sich? Man muss gar nicht schneller sein als der Löwe, nur schneller als der Kollege.

Was ich damit sagen will: Sorgen Sie dafür, dass Sie punkto IT-Sicherheit nicht zu denen gehören, die man auf Englisch als the low-hanging fruits bezeichnet, also zu denjenigen Früchten, die man so einfach erreicht, dass sie geradezu zum Pflücken einladen.

Wenn Sie das schaffen, sind Sie schon ein gutes Stück weiter.