Umgezogen

Das Megos IT Security Blog ist umgezogen: Die neue Adresse ist https://www.megos.ch/blog/.

Die Beiträge hier bleiben zwar vorerst stehen, aber neue Einträge gibt es nur am neuen Ort.


Ich begann über einen Umzug nachzudenken, als mir bewusst wurde, dass WordPress (die Firma) Werbung schaltet auf dem Blog in der Gratis-Variante. Das wollte mir nicht recht zusammenpassen mit einem Blog über IT-Sicherheit, wo doch gerade Werbung ein grosses Problem darstellen kann punkto Sicherheit und auch punkto Tracking.

Es gibt für 4 Euro im Monat als eine Art Abo eine „Befreiung“ von dieser Werbung und eine Menge zusätzlicher Features, und ich hätte dieses Angebot von WordPress fast angenommen. Server und Traffic kosten Geld, Support-Mitarbeiter kosten Geld, man bekommt einiges geboten, ja warum nicht 4 Euro pro Monat, um all das zu honorieren und auch um mitzuhelfen, dass das Angebot auch in Zukunft bestehenbleibt? Eigentlich gerne.

Dann aber stand ich am Punkt, dass ich nur mit Kreditkarte oder dann mit PayPal plus dort hinterlegter Kreditkarte hätte zahlen können; einfach nur Guthaben bei PayPal war nicht genug. Warum? WordPress scheint es wichtig zu sein, dass sie nach Ablauf des Jahres das Abo selbständig ohne Rückfrage um ein weiteres Jahr verlängern können.

Und das war mir zu dumm…

Advertisements

Kernschmelze bei IT-Sicherheit

Wenn andere Leute gegen Windmühlen kämpfen dürfen, darf ich auch einen Versuch starten, gegen die allgemeine Abstumpfung bei Themen der IT-Sicherheit anzuschreiben, anhand konkreter laufender Ereignisse, bevor Sie von diesen endgültig nichts mehr lesen wollen.


Wo beginnt unsere heutige Geschichte? Vermutlich Jahre in der Vergangenheit, wo irgendwelche Chip-Designer bei Intel sich überlegt haben, wie sie ihre Prozessoren noch schneller machen können. Sie denken sich ein Feature namens Speculative execution aus, und entscheiden sich für eine besonders aggressive Variante dieses Features, weitaus aggressiver als es z.B. später Kollegen bei AMD machen:

Beim „Ausführen zum Voraus“ von Prozessorbefehlen wird zunächst nicht geprüft, ob damit verbundene Speicherzugriffe gemäss Schutzmechanismen zulässig wären; es wird mal munter zugegriffen und erst irgendwann später auf Zulässigkeit geprüft. Was hätten die Intel-Ingenieure wohl damals auf die Frage geantwortet, ob das nicht gefährlich sei? Vielleicht „Iwo, ist ja eh alles nur spekulativ ausgeführt.“

Dann, vor etwas über einem halben Jahr, beweist jemand das Gegenteil. Man hätte es ahnen können, dass das früher oder später kommt: Bei der Komplexität, die heutige Prozessoren haben, ist eine solche Entscheidung in etwa das, was ich „das Schicksal herausfordern“ nenne und eigentlich nicht haben möchte beim CPU-Lieferanten meines Vertrauens. Das hätte wirklich nicht sein müssen, aber nun gut.

Jetzt geht die Geschichte erst richtig los: Intel und ein paar andere Betroffene räumen sich ein halbes Jahr Zeit ein, um Gegenmassnahmen zu entwickeln, und zwar im Geheimen. Sowohl das halbe Jahr wie auch die Geheimhaltung kann man durchaus kritisch sehen, wenn man will – schliesslich verkaufte Intel in dieser Zeit munter alle problematischen Prozessoren weiter.

Dann, nach Ablauf dieser selbst genehmigten, wie ich meine sehr grosszügigen Schonfrist, bringt Intel Mikrocode-Updates für ihre CPUs heraus. Mit einer kompletten Problemlösung? Nein, für Spectre nur teilweise. Für alle betroffenen Prozessoren? Nein, (zunächst?) nur für die, die höchstens 5 Jahre alt sind. Funktionieren die Updates wenigsten so wie gedacht? Nein, Intel muss sie zurückziehen, nachdem es bei zu vielen Computern nach dem Update zu Instabilitäten kommt.

Aus dem Gedächtnis und frei übersetzt, schrieb Intel in einer Pressemitteilung zum vorläufigen Rückzug der Updates in etwa folgenden denkwürdigen Satz: „Die Rate spontaner Neustarts war bei einigen Computern zu hoch.“ Liebe Leute, welche Rate spontaner Neustarts grösser als 0 wäre denn nicht zu hoch gewesen?

Natürlich brauchen nun Betriebsysteme aller Hersteller, sofern sie auf Intel-Prozessoren laufen, ebenfalls Updates.

Microsoft findet beim Programmieren seiner Updates für Windows heraus, dass einige Hersteller von Antiviren-Software derart „schmutzige Tricks“ verwenden, wenn sich sich im Betriebssystem festkrallen, um dieses zu „schützen“, dass sie mit den Updates nicht klarkommen.

Dürfen Antiviren-Hersteller überhaupt solche Tricks anwenden, im Interesse der Sache und weil sie ganz allgemein ja zu den „Guten“ gehören? Man kann, wie so erstaunlich oft in dieser Geschichte, gut und gerne geteilter Meinung sein.

Aber gut. Microsoft lässt sich etwas einfallen: Die Updates schalten sich erst scharf, nachdem die auf dem Computer vorhandene Antiviren-Software Bescheid gibt, sie sei nach einem eigenen Update jetzt soweit.

Aber auch hier wird, wenn Sie mich fragen, alles andere als sauber gearbeitet: Wenn Sie Windows 7 betreiben und keine Antiviren-Software installiert haben, passiert – gar nichts. Sie bekommen Ihre Januar-Patches einfach nicht, ohne Warnung warum nicht, ohne Hinweis auf fehlende Antiviren-Software in diesem speziellen Zusammenhang.

Ich könnte noch einige Zeit so weiter schreiben, über Pleiten, Pech und Pannen bei den bisherigen Versuchen der Computer-Branche, auf Meltdown und Spectre zu reagieren, aber ich muss wohl langsam auf den Punkt kommen, um den es mir bei diesem Blog-Eintrag eigentlich geht:

Dass all diese Dinge nicht zu einem Riesenskandal geführt haben, mit Kauf-Boykotts, dem Intel-Chef von einem Kongress-Ausschuss gegrillt, Protest-Aktionen vor dem Intel-Hauptsitz, usw., liegt meiner Meinung nach zu einem guten Teil an nur 1 Effekt: Abstumpfung.

Vielleicht hätte es vor 10 Jahren noch einen Riesen-Aufschrei gegeben, aber heute passiert in Sachen IT-Sicherheit so viel, dass eine akute Gefahr der Resignation und der Abstumpfung besteht.

Ich gebe es zu: Wenn Sie nach Lektüre meiner Zeilen hier entsprechende Symptome bei sich selbst bemerken, ist alleine dadurch noch nicht viel gewonnen. Viele Möglichkeiten, sich gegen solche Dinge zu wehren, hat man ja meistens nicht. Aber trotzdem, es ist wohl so, dass eine Wende zum Besseren mit der Erkenntnis bei möglichs vielen Leuten beginnt, dass hier ein Skandal stattfindet, mit dem die Akteure eigentlich nicht durchkommen dürften.

1 Jahr Megos IT Security Blog

Nach 1 Jahr und 38 Blog-Einträgen ein Jubiläums-Eintrag zum Thema „Wie bloggt es sich denn so, Herr Brunner?“


Bei der Suche nach dem Thema für den ersten Blog-Eintrag im neuen Jahr habe ich gesehen, dass ich hier nun ziemlich genau 1 Jahr lang schreibe, und habe darum spontan beschlossen, Sie mit einem Jubiläums-Blog-Eintrag zu beglücken. Es wird Blog-Eintrag Nr. 39, sagt mir WordPress.

Ich werde über ein paar Meta-Informationen rund um das Blog plaudern, die für sich alleine keinen eigenen Eintrag hergeben, aber hoffentlich trotzdem interessant sind und einigermassen zum Jubiläum passen:

Hingen mein Vergnügen und meine Motivation hier zu schreiben rein davon ab, wie viele Leser ich zurzeit habe, würde ich wohl aufhören und nach Hause gehen.

IT Security ist natürlich ein beliebtes Thema. Es gibt darum eine ganze Menge Blogs dazu – ein Blog ist offenbar fast Pflicht für Firmen aus der Branche – und die meisten davon sind älter als meines. Viele haben auch mehr Inhalt. So lande ich bei einer allgemein gehaltenen Google-Suche z.B. nach „IT Sicherheit Blog“ noch nicht in den 100 ersten Treffern. Das Blog hat auch noch keine Links auf wichtigen und gut besuchten Seiten bekommen.

Das führt, eigentlich wenig überraschend, zu einem bisher absolut bescheidenen Traffic. Ich kenne allerdings von privaten Websites her bereits, wie lange es dauern kann, sich wirklich zu etablieren, und mache mir im Moment deshalb keine allzu grossen Sorgen.

Eine weitere Erkenntnis des vergangenen Jahres: Es ist gar nicht so einfach, Themen zu finden, die nicht an 100 anderen Orten schon zu Genüge durchgekaut wurden, oder bei bekannten Themen neue Blickwinkel zu entdecken. Allerdings gibt es eine Menge Blogs, die hauptsächlich News bringen und kaum Analysen oder fundierte Meinungen, so dass durchaus eine Nische übrigbleibt.

Ich möchte bei dieser Gelegenheit mal gezielt auf meine Blogroll am Schluss der Spalte links hinweisen: Ich habe versucht, eine Liste zu erstellen, die wirklich nur die besten IT-Sicherheits-Blogs auf Deutsch enthält, als Orientierungshilfe für Sie im angesprochenen Meer von Security-Blogs.

Es ist ein auffälliges Phänomen, dass sich viele Leute um das Thema Sicherheit drücken, aus vielfältigen Gründen wie z.B. Faulheit, der falschen Annahme, dass es einen selbst wohl schon nicht treffen wird, oder dem simplen Irrtum, man habe nur wenig zu verlieren.

Mein persönlicher Lieblings-Ansatz, wie man hier etwas verbessern könnte, ist Psychologie: Mit welchen psychologischen Tricks und Kniffen bringt man die Leute trotzdem dazu, sich mehr als bisher um IT-Sicherheit zu kümmern? Zwei Beiträge in dieser Richtung: Alles ist zu kompliziert, wenn man nicht will und Gefahren beurteilen kann so seine Tücken haben

Ich hoffe, dass es mir gelingt, hierzu noch einige gute Ideen zu entwickeln.

Was ich gar nicht mag, und nach diesem Blog-Jahr noch weniger als früher, und was ich auch für kaum zielführend ansehe, ist Angstmachen. Speziell Antiviren-Herstellen fallen in dieser Beziehung für meinen Geschmack entschieden zu häufig auf. Wenn ich Panikmache sehe, muss ich fast darüber schreiben, sofern ich gutes Material finde, um gegensteuern zu können.

Es ist absolut kontraproduktiv, wenn sich Leute über die falschen Dinge Sorgen machen!

Wiederum 2 Beiträge in dieser Richtung: Android-Sicherheitslücken: Der Himmel stürzt nicht ein und Kryptologen gegen Hacker: Wer gewinnt?

Zum Schluss noch ein Informations-Häppchen. Beim Eintrag, der bisher am meisten Aufmerksamkeit erfuhr, ging es etwas zu meinem Ärger nicht zentral um Security im eigentlichen Sinn, aber so ist das eben, wenn am kurz vor der maximalen Ausdehnung einer „Bubble“ über etwas berichtet: Monero und die wilden Schürfer

EV? DV? Alles Zertifikat, oder was?

Es lohnt sich für Firmen nicht, Hunderte Euro pro Jahr für EV-Zertifikate auszugeben, wenn eh kein Schwein weiss, worum es dabei geht. Ist doch logisch!


Ich habe in einem früheren Blog-Eintrag bereits erklärt, was es bedeutet, wenn der Browser so wie in folgendem Screenshot das Wort Sicher bzw. Secure anzeigt in der Adresszeile:

DV-Zertifikat

Kurz zusammengefasst: Es bedeutet eigentlich herzlich wenig. „Sicher“ ist nur die Verbindung zwischen Ihrem Browser und der Website. Über die Website selbst sagt es fast nichts aus; heutzutage sind sogar viele Verbindungen zu betrügerischen Phishing-Websites solcherart „sicher“.

Der Grund: Die sogenannten Domain-Validated-Zertifikate oder kurz DV-Zertifikate bekommt jeder mehr oder weniger einfach so (man braucht lediglich eine gültige E-Mail-Adresse), und die meisten solchen Zertikate sind heutzutage kostenlos.

Was ist, wenn die Adresszeile anders aussieht, wenn da ein Name steht, wie in diesem Screenshot?

EV-Zertifikat

Dann kommt ein sogenanntes Extended-Validation-Zertifikat oder kurz EV-Zertifikat zu Einsatz.

Der Witz bei diesen: Es gibt relativ strenge Vergabekriterien, an welche sich die ausgebenden Stellen auch halten. Diese Zertifikate werden für Privatpersonen nicht ausgestellt, sondern im Prinzip nur für rechtliche Personen, die in irgendeiner Form öffentlich registriert sind, also konkret meistens Firmen. Und es überprüft tatsächlich ein Mensch „von Hand“, ob Firma und Website zusammengehören.

Klar auch, dass das etwas kostet: Typischerweise einige Hundert Euro im Jahr.

Das ist ein beachtlicher Gewinn an Aussagekraft und Sicherheit: Ich kann im obigen Beispiel ziemlich sicher sein, dass ich mich tatsächlich auf der Website der Credit-Suisse-Bank befinde.

Der Inhaber der Domain Credit-Suise.com (ja, diese Domain gibt es leider tatsächlich) könnte zwar ohne Probleme zu einem „Sicher“ in der Adresszeile des Browsers kommen, mit Hilfe eines DV-Zertifikats, aber der Versuch, ein EV-Zertifikat zu bekommen, damit da Credit Suise steht, würde vermutlich am Prüfer des Antrags bei der Ausgabestelle scheitern, selbst wenn das Gründen einer gleichnamigen Firma irgendwo auf der Welt noch geklappt haben sollte.

So, und nun zu einer Frage, bei der ziemlich viel von der Anwort abhängt: War Ihnen dieser fundamentale Unterschied zwischen den beiden Sorten Zertifikaten schon bewusst, bevor Sie jetzt meine Erläuterungen gelesen haben?

Mit ziemlicher Wahrscheinlichkeit nicht, wie Umfragen immer wieder ergeben. Ich muss gestehen, mir auch nicht, bevor ich mich näher mit Fragen der IT-Sicherheit zu beschäftigen begann.

Warum ist das wichtig? Solange die Leute nicht Bescheid wissen, und noch wichtiger, solange sie nicht darauf achten und dann auch darauf pochen, dass Firmen EV-Zertifikate einsetzen, haben Firmen eigentlich keinen Grund, Aufwand zu treiben und Geld auszugeben, um solche Zertifikate zu kaufen: Interessiert eh kein Schwein, man gewinnt keinen Blumentopf, man macht nicht mehr Umsatz.

Es ist denn auch so, wie der Sicherheits-Spezialist Troy Hunt in diesem Artikel sehr schön zeigte: Der Einsatz von EV-Zertifikaten im heutigen Internet lässt sehr zu wünschen übrig. Von den 10 meistbesuchten Websites überhaupt auf der Welt setzte im Sommer 2017 keine einzige ein solches ein.

Eine Welt voller Computer, Software und Sicherheitsprobleme

Es ist, zumindest im Moment, fast so etwas wie ein Naturgesetz: Mehr Komplexität bringt mehr Sicherheitsprobleme mit sich. Eine Einführung, und ein Cliffhanger in Bezug auf später folgende Blog-Einträge zum Thema


Wer auch nur ein bisschen darauf achtet, was auf dem Gebiet der Technik so passiert, kennt das Phänomen sicher: Mit einem hohen Tempo wird so ziemlich alles, was mit Strom funktioniert, immer komplexer.

Früher™ hatte man einen Apparat namens Telefon auf dem Tisch, mit dem man telefonieren konnte, und das war’s. Heute hat man da, von der Technologie (VoIP) und der Architektur her gesehen, einen ausgewachsenen Computer stehen, mit dem man eben telefonieren kann.

Ein Smart-TV ist – natürlich – ein Computer, mit dem man unter anderem fernsehen kann.

Früher hatte man ein Auto, mit dem fahren konnte. Heutigen Autos tut man regelrecht unrecht, wenn man sie als „Computer auf Rädern“ bezeichnet; „Computer-Verbund“ auf Rädern trifft es wahrscheinlich besser.

Und so geht es weiter, mit Personenwaagen, Überwachungskameras, Heizungsreglern, usw., alle mit WLAN oder Bluetooth und intern im Prinzip komplette Computer. Selbst einige Glühbirnen sind heutzutage schlau genug, um selbstverbreitende Viren und Würmer auszuführen.

Wo liegt das Problem? Nein, das Problem liegt nicht darin, dass ich zu alt, zu unflexibel oder schlicht zu fault geworden bin, um mit all dieser neuen und komplizierten Technik mitzukommen, und mich nach der „guten alten Zeit“ zurücksehne, in der die Welt noch wesentlich einfacher war.

Das hier ist ein Blog über Sicherheit, und um diese soll es gehen: So, wie diese Geräte heute entwickelt und gebaut werden, führt mehr Komplexität fast immer zu mehr Sicherheitsproblemen.

Ein für mich ziemlich einleuchtendes Beispiel: Solange man Handys nur durch Eingabe einer PIN entsperrte, konnte eigentlich fast nichts schiefgehen; in das kleine Stück Software, das die korrekte Eingabe von ein paar Ziffern überwachen muss, einen Bug einzubauen, braucht schon ganz besondere Programmier-Talente.

Wenn man aber ein heutiges Smartphone wahlweise über PIN, über Fingerabdruck, über Bilder in der richtigen Reihenfolge angetippt, über Kringel auf den Bildschirm gemalt oder sogar über seine Stimme oder sein Gesicht entsperren kann, sieht das allerdings anders aus.

Und da geht es ja nicht nur um mögliche Bugs in all der Software dahinter, sondern je nach dem auch darum, was man wie „faken“ oder erraten könnte, um sich Zutritt zu Ihrem Handy zu verschaffen.

Ich möchte Sie dazu ermuntern, über diese Sache ein wenig nachzudenken, oder beim Lesen von Artikeln in Quellen wie z.B. Heise Security mehr als bisher darauf zu achten, wo überall Komplexität zumindest mitschuldig ist, wenn etwas schiefläuft.

Und sollten Sie zum Schluss kommen, dass an dieser Komplexitäts-Sache etwas dran sein könnte, schauen Sie wieder in mein Blog, wenn ich in weiteren Einträgen in dieser Sache versuchen werde, konkrete Tipps zum Abbau von Komplexität in Hinblick auf einen Gewinn an Sicherheit zu geben!

Open-Source-Software für Backup auf Windows

Der kluge Rat Nimm doch Open Source, wenn Du kein Geld für kommerzielle Software ausgeben magst will bei Backup-Programmen für Windows nicht so recht klappen.


Ich habe mir kürzlich einige Backup-Programme angeschaut, mit der man als Privatperson oder als Mitarbeiter eines KMUs die Daten auf seinem eigenen Windows-PC auf zuverlässige und einigermassen unkomplizierte Weise sichern kann, natürlich zusammen mit der Windows-Installation selbst, wie ich es hier im Blog als Bare-Metal Restore beschrieben habe.

Das sind also Programme wie Acronis True Image 2018, Paragon Backup & Recovery 16, Ashampoo Backup Pro 11, nebst der Windows-eigenen, standardmässig vorhandenen Funktion Sichern und wiederherstellen, die seit Windows 7 auch ganz ordentlich funktioniert.

Es gibt so viele Programme in dieser Kategorie, dass ich nicht alle ernsthaften Kandidaten testen konnte, aber das ist eigentlich nicht überraschend bei einer so wichtigen Sache wie Backup.

Als ich mir anschaute, ob es solche Backup-Programme auch als Open Source gibt, erlebte ich allerdings eine Überraschung: Es gelang mir trotz seriöser Suche nicht, Open-Source-Lösungen zu finden, welche genau diese Aufgabe abdecken, wie gesagt „zuverlässiges und einigermassen unkompliziertes Sichern eines Windows-PCs“, und deren Einsatz in einem kommerziellen Umfeld kostenlos ist.

Natürlich gibt es eine Menge Open-Source-Software zum Thema Backup, aber eben nicht mit allen genannten Eigenschaften.

Areca Backup ist zwar Open Source und kostenlos auch bei Einsatz in Firmen, muss aber offenbar bei „Bare-metal restore“ auf Windows passen, und die Unterstützung für den Windows-Mechanismus VSS für das zuverlässige Sichern von Files in Gebrauch zum Zeitpunkt des Backups, ist kostenpflichtig.

(Ich gönne es natürlich den Areca-Entwicklern, mit dem VSS-Plugin etwas Geld zu verdienen, aber damit fällt es als Gesamtlösung schlicht in eine andere Kategorie.)

Bareos ist offenbar kostenlos zu haben, wenn man sich seine eigenen „Binaries“ aus den Sourcen auf GitHub kompiliert. Das ist nah dran, aber wohl trotzdem ausser Reichweite normaler Windows-PC-Anwender. Die Eigenschaften des Programms habe ich nicht näher abgeklärt.

UrBackup sieht auch nicht schlecht aus; ich bin mir aber nicht sicher, ob eine zweiteilige Lösung mit einem Backup-Client und einem Backup-Server meine Anforderung einer unkomplizierten Lösung erfüllt, und ein Feature namens Change block tracking kostet Geld, auch wenn ich nicht abgeklärt habe, wie dringend man das wirklich braucht.

Es gibt eine recht gut bestückte Kategorie von kostenloser Open-Source-Software, mit der man ganze Harddisks und Harddisk-Partitionen sichern und wiederherstellen kann; Duplicati gehört z.B. in diese Kategorie.

Bei solchen Programmen muss ich bemängeln, dass man nur eine Gesamt-Wiederherstellung machen, aber nicht einzelne Ordner oder Dateien zurückholen kann, was je nach Situation vermutlich ziemlich lästig ist. Auch vermute ich, dass nicht alle solchen Programme einen inkrementellen Backup hinkriegen, wo man nur abspeichert, was seit dem letzten Backup geändert hat, was natürlich sehr viel schneller ist als immer alles zu sichern.

Monero und die wilden Schürfer

Monero hat im Moment nicht unbedingt die Schlagzeilen, die man sich als seriöse und ambitionierte Kryptowährung wünschen würde. Aber was soll man machen: Was wirklich gut ist, lässt sich leider oft auch gut missbrauchen.


Die Kryptowährung Monero (offizielle Website , Wikipedia-Eintrag), von der man lange Zeit recht wenig hörte, schafft es in den letzten Wochen und Monaten auffällig oft in die Schlagzeilen.

Da gibt es das Phänomen, dass man den Leuten Trojaner unterjubelt, die eine Kryptowährung „schürfen“, wobei der Erlös an diejenigen Leute geht, welche die Trojaner verteilen und kontrollieren. Dabei geht es praktisch nie um die teuerste und bekannteste Währung Bitcoin, sondern eben häufig um Monero, wie man in diesem Technology-Review-Artikel oder in einem eher technischen Artikel der Sicherheitsfirma ESET nachlesen kann.

Vor relativ kurzer Zeit erst kam der Trick breit zur Anwendung, dass mit Hilfe von JavaScript eine Kryptowährung geschürft wird, während man sich im Browser auf einer entsprechend „ausgestatteten“ Website befindet, wie etwa Wired in diesem Artikel beschreibt. Wieder geht es hauptsächlich um Monero.

Man findet in diese Artikeln meistens nur wenig Information darüber, warum so auffällig oft Monero zum Zuge kommt, wenn es um solcherart fragwürdiges Schürfen geht. Weil mir persönlich Monero als Währung sehr gut gefällt, möchte ich deshalb hier etwas mehr Licht in die Sache bringen:

Zunächst einmal hat Monero als eine der Top-10-Kryptowährungen (aktuelles „Ranking“ jeweils auf coinmarketcap.com) die nötige Verbreitung und die nötige Liquidität, um die ergaunerten oder zumindest erschlichenen Guthaben einfach transferieren oder auszahlen zu können. Der Kurs ist nicht extrem, aber 1 Monero ist mit 60, 70 Euro oder so ordentlich was wert, und der Kurs schwankt längst nicht so wild wie der vergleichbarer Währungen. Und es gibt eine Reihe brauchbarer Programme rund um die Währung.

Zweitens ist Monero von der Technologie her wesentlich „privater“ als die meisten anderen Kryptowährungen: Transaktionen sind kaum nachzuverfolgen, es ist nicht ersichtlich, wer wem wieviel zahlt, und wenn man eine Monero-Adresse kennt, kann man nicht einfach deren „Kontostand“ nachschauen, wie das insbesondere bei Bitcoin möglich ist, wie ich in einem früheren Blog-Eintrag erläutert habe.

Privat ist nicht per se schlecht, sonst hätte man das ebenfalls weitgehend private Bargeld schon längst abgeschafft, kommt aber natürlich den Leuten hinter den beschriebenen „Unternehmungen“ sehr gelegen.

Eine Kryptowährung zu schürfen bedeutet vereinfacht gesagt das erfolgreiche Lösen unheimlich rechenintensiver mathematischer „Rätsel“.

Für die Rätsel, die sich bei Bitcoin stellen, gibt es schon längere Zeit ganz spezielle Hardware, sogenannte Miner, die so viel schneller sind als handelsübliche Computer, bzw. deren CPUs und Grafikprozessoren, dass man ohne gar nicht mehr anzutreten braucht: Die Chance, noch in diesem Jahrtausend erfolgreich einen Bitcoin-Block signieren zu können mit dem Computer, auf dem ich gerade schreibe, stehen schlecht.

Und weil diese Geräte zu kaum etwas anderem zu gebrauchen sind, nicht gerade als „billig“ durchgehen und grosszügig Strom fressen, hat eine starke Konzentration eingesetzt: Die grossen Akteure im Bitcoin-Schürfen betreiben ganze Hallen voll mit solchen Geräten, und zwar an Orten, wo Strom möglichst in beliebigen Mengen günstig zu haben ist – womit Europa schon mal flachfällt.

Und damit kommen wir zu drittens: Die Erfinder von Monero waren der Meinung, dass solche Machtkonzentrationen einer Kryptowährung auf die Dauer nicht guttun, und haben sich ganz gezielt eine Sorte Rätsel ausgedacht, deren Lösung man nur sehr schwer in superschnelle Chips giessen kann.

Das ist nun der Grund, warum bis heute das Schürfen von Monero mit handelsüblicher PC-Hardware rentabel sein kann, dummerweise insbesondere dann natürlich, wenn man andere für sich arbeiten lässt und somit praktischerweise null Hardware-Kosten und ebenso null Strom-Kosten hat!

Und so kommt eben alles zusammen, damit Monero im Moment eine Menge Negativschlagzeilen macht.