Datensicherheit im Forum, Mitgliederliste & ein Vorfall

[Michael Franz]

Vorfall / BigToby
Vor einigen Tagen bekam MichaelB e-mail von Thomas Bohnen, hier im Forum und bei den Spulentonbandfreunden als BigToby bekannt und mittlerweile gesperrt, im Dual-Board unter dem Namen Petzi unterwegs. BigToby teilte mit, er hätte "Einblick in das Adminboard" erhalten. Sinn und Zweck dieser Mitteilung war nicht klar, sie stand auch in keinem Zusammenhang zum Rest der Mail, deren Inhalt mit dem Forum nichts zu tun hat.

Nimmt man diese Aussage ernst und schliesst einen professionellen Hack aus, bleibt als Möglichkeit nur noch, daß einer der Admins / Co-Admins / Mods freigiebig mit seinem Passwort umgegangen ist. Ich habe vollstes Vertrauen zu meinen Co-Admins und glaube keinesfalls an eine Absicht. Im Rahmen von persönlichen Kontakten, und diese bestehen zum Teil, ist es aber gut möglich, daß ein Passwort abgeguckt, erraten oder sonstwie eruiert worden ist, ohne daß der Betroffene das gemerkt hätte.

Um evtl. weiteren Mißbrauch vorzubeugen, wurde als erstes das Adminboard komplett gesperrt, so daß nur noch MichaelB und ich den Zutritt haben. Öffnung erfolgt dann, wenn Datensicherheit wieder hergestellt ist. Schaden ist meines Erachtens keiner entstanden. Das Adminboard enthält keine sensiblen Daten, sondern mehr die organisatorischen Besprechungen der Admins und Überlegungen zur Gestaltung des Forums. Auch hat, wer Zutritt zum Adminboard hat, noch lange keine vollen Admin-Rechte mit Einblick ins Admincenter und die Datenbank.

Wer etwas zu diesem Vorfall weiß, möge mir das bitte mitteilen.


Mitgliederliste
Einigen Usern ist aufgefallen, daß die Mitgliederliste nicht mehr funktioniert. Diese wurde aus Gründen der Datensicherheit bewusst stillgelegt. Das ist ein offenes Forum, jeder kann eintreten, niemand wird kontrolliert. Die Mitgliederliste mit e-mail-Adressen, z.T. mit realen Namen, ist somit eine leichte Beute für Adressensammler und Spammer. Alle Kontaktdaten können weiterhin über das "Profil" aufgerufen werden, stehen also nach wie vor zur Verfügung. Es ist jetzt aber etwas mühseliger, sie zusammenzutragen. Für professionelle Adressensammler eher unrentabel, für den Forumsbetrieb ausreichend. Ich denke, daß diese kleine Unbequemlichkeit für das Plus an Sicherheit in Kauf genommen werden kann.


Generelles zur Datensicherheit hier im Bandmaschinenforum
Den einen oder anderen wird es interessieren, wer hier wo Einblick in welche Daten hat. Zur Info:
Es gibt den abgeschlossenen Bereich "Adminboard". Hier diskutieren die Mods und Admins über ihre Arbeit. und nur diese haben Zutritt. Das Adminboard enthält keine sensiblen Daten. Trotzdem werden künftig nicht mehr benötigte Inhalte in ein separates Archiv verschoben, daß dann nur MichaelB und mir zugänglich ist. Generelle Adminrechte mit Zugriff auf die Datenbank und anderepersönliche Infos haben nur zwei Personen, MichaelB und ich. Der Zutritt zu den sensiblen Bereichen wird über Logfiles protokolliert.

[wz1950]

Hallo Michael,

die "abgeschlossenen Bereiche" in Foren sind m.E. nicht hundertprozentig sicher.

Vor einigen Wochen, als ich noch bei den Spulentonbandfreunden angemeldet war, ist mir folgendes passiert:

Ich hatte die Funktion "Aktuelle Beiträge" aufgerufen. Dort wurde mir u.a. ein Beitrag angezeigt, der in einem Bereich stand, der definitiv nur für Admins einsehbar ist (bzw. sein sollte).

Ich habe es mir verkniffen, den Beitrag zu lesen, und stattdessen den Admin Robert per PN informiert.

Da ich nur einen "normalen" User-Account hatte, kann es sich nur um eine Fehlfunktion der Software gehandelt haben. Ein solcher Fehler dürfte schwer zu lokalisieren sein, da er sich nicht reproduzieren läßt.

Aus einem solchen oder ähnlichen Vorfall auf Passwort-Mißbrauch o.ä. zu schließen, halte ich für unangemessen.

Fehlerfreie Software gibt es nicht...

Man sollte sich deshalb darüber im klaren sein, daß sensible Informationen in einem "geschlossenen Bereich" zwar im Normalfall sicher sind, daß aber die Gefahr von Softwarefehlern nicht zu beseitigen ist. Und je mehr Modifikationen in die eigentliche Forensoftware eingebaut sind, desto größer ist das Risiko.

Gruß, Wolfgang

[Michael Franz]

Wenn ein user schriftlich so ganz nebenher mitteilt er hätte Einblick in das Adminboard erhalten, dann kann man das glauben oder auch nicht, auf jeden Fall sind zuallererst Sicherheitsvorkehrungen angesagt.

Deswegen der Riegel.

Je größer die Gruppe, desto größer das Risiko, daß eines der Passwörter in falsche Hände gerät. Daten, die nicht mehr gebraucht werden, wegzuschliessen dahin, wo nur wenige Zugang haben, minimiert dieses Risiko. Ganz klar, vor Softwarefehlern ist man nicht gefeit, auch nicht vor krimineller Energie und dem berühmten "dumm gelaufen". Aber man tut, was man kann. Dies völlig unabhängig von der Glaubwürdigkeit / Unglaubwürdigkeit des Schreibers.

[wz1950]

Zur Ergänzung:

Ich bin bei einem Forenhoster als Moderator im Support-Forum aktiv und bekomme somit allerhand an Problemen mit, auch solche, die nicht in der Öffentlichkeit bekanntgemacht werden.

Solche Vorfälle wie die geschilderten sind zwar zum Glück nicht häufig, aber sie existieren.

Natürlich ist es vernünftig, in einem solchen Fall die Sicherheitsvorkehrungen zu erhöhen.

Nur sollte m.E. nicht automatisch von einem perfekten Funktionieren der Software und unlauteren Absichten beteiligter User ausgegangen werden.

Der Kreis Deiner Co-Admins ist klein, und Du sagst selbst, daß Du Dich auf sie verlassen kannst. Daß Paßwörter so gewählt werden sollen, daß sie nicht erraten werden können, sollte sich mittlerweile herumgesprochen haben. Wie also sollte das Paßwort eines Co-Admins in falsche Hände geraten?

Gruß, Wolfgang

[Michael Franz]

Was sich herumspricht, wird nicht automatisch auch angenommen und umgesetzt. Unbewusste und unerkannte Nachlässigkeiten sind nie ganz auszuschliessen.

Zudem wählen sich viele Personen leicht zu merkende Passwörter, die auch noch für viele andere Foren gelten. Kennt man die privaten Verhältnisse, kann man raten.

Wenn jemand weiss, daß eine Person einen Hund hat ist oder auf ein ganz bestimmtes Motorrad abfährt oder in der Jugendzeit einen bestimmten Spitznamen hatte, dann kann man ja mal versuchen, ob eines dieser Worte auch als Passwort geht.

Stil und Inhalt der Mail liessen nicht darauf schliessen, daß da jemand "aus Versehen" ins Adminboard geplumpst ist und nun pflichtschuldigst einen Softwarefehler meldet.

[wz1950]

Da Bigtoby durch seine Sperrung in diesem Forum nicht mehr posten kann, gebe ich ihm hiermit, in Übereinkunft mit Michael Franz, die Möglichkeit einer Stellungnahme zu den geäußerten Vorwürfen.

Bigtoby hat mich gebeten, folgenden Text zu posten:

Stellungnahme

Hiermit erkläre ich verbindlich, dass ich im Bandmaschinenforum niemals einen fremden Account benutzt habe!

Behauptungen in dieser Richtung sind an den Haaren herbeigezogen!
Sollte eine der Personen, die diese Behauptungen oder Vermutungen in den Raum gestellt haben, dies beweisen können, so sollen sie dies tun! Ich verlange sogar die Beweisführung!
Sollte der Beweis nicht geführt werden können, so verlange ich eine entsprechende Richtigstellung sowie die Entfernung meiner sonstigen Namen, speziell im Dualboard, aus dem entsprechenden Thread!
Hier ist Übelnachrede getätigt worden!

Der von mir an Michael Bentrup per Mail mitgeteilte mögliche Zugriff auf das Adminboard geschah unter meinem Account "Bigtoby" und ohne irgendwelche Manipulationen. Das Adminboard war offensichtlich für mich "freigeschaltet".

Dieses war ein einmaliger Vorgang. Ein erneuter Zugriff auf das Adminboard ist nicht möglich gewesen.

Ich habe die Möglichkeit auf das Adminboard zugreifen zu können nur durch einen Zufall mitbekommen, diese Möglichkeit aber nicht genutzt!
Ich habe nicht in das Adminboard reingescheut und somit keine Informationen aus dem Adminboard an Dritte weitergegeben!

Ich habe lediglich Michael Bentrup darauf hingewiesen, dass ich diese Möglichkeit ohne mein zutun hatte und bin nur noch mehr enttäuscht von MB, dass er diesen Hinweiß nicht genutzt hat das Chaos auf seinem Server in den Griff zu bekommen.
Statt dessen gibt er eine vertrauliche Email an Michael Franz weiter, der wieder rum sofort das ganze publik macht.

Ich möchte jetzt, dass entweder die Vorwürfe, die gegen mich erhoben wurden, auch belegt werden oder eine anständige Entschuldigung!



Thomas Bohnen

[Michael Franz]

Der Inhalt der in meinem Startposting erwähnten e-mail von BigToby an MichaelB betrifft zum allergrößten Teil nicht dieses Forum und gehört daher nicht hier veröffentlicht. Dies zu tun wäre alleine Entscheidung von MichaelB und BigToby. Der einzige forenrelevante Teil des Schreibens war der Hinweis, BigToby habe Einblick ins Adminboard erhalten. Formulierung und Zusammenhang liessen nicht auf einen zufälligen Einblick durch Softwarefehler schliessen, wie hier in der Stellungnahme von BigToby geschildert. Von einem Hinweis auf zufälligen Zutritt zum Adminboard aufgrund eines Softwarefehlers war jedenfalls nichts zu lesen. Daß MichaelB mich über die Aussage BigTobys informierte, ist sein Job, letztendlich ist es mein Forum und ich bestimme, was dann geschieht.

Ich habe nie behauptet, BigToby habe ein Passwort missbraucht und sich unter einem anderen Account eingeloggt. Ich habe lediglich aufgrund dieser Möglichkeit bestimmte Schutzmaßnahmen ergriffen und darüber informiert. Nur, weil ich prophylaktisch einen Schirm aufspanne und dies bekannt gebe, habe ich noch lange nicht behauptet, es würde regnen!

Wenn es an meinem Startposting überhaupt etwas zu korrigieren gibt, dann wäre das die Formulierung "bleibt als Möglichkeit nur noch", die zu ersetzen wäre durch "bleibt als weitere Möglichkeit...". An der Sache ändert das nichts - der Mißbrauch ist und bleibt eine Möglichkeit, ich muss daher mit einem Mißbrauch rechnen und reagieren.

Dazu gehört auch die Information der Member, die solche Dinge nicht von dritter Seite erfahren sollen, sondern von mir! Ich weiss ja nicht, wen BigToby sonst noch von diesem Vorfall erzählt hat.

Fazit:
Das was ich behauptet habe, hat BigToby bestätigt. Das was ich nicht behauptet habe, brauche ich nicht zu beweisen. So ist auch die Entschuldigung hinfällig, denn für nicht gemachte Behauptungen, die ich nicht beweisen muss, muss ich mich nicht entschuldigen, weil ich sie nicht beweisen kann.

BigToby kann nun drüber nachgrübeln, ober er die Beschuldigung aufrecht erhält, ich hätte ihn beschuldigt.

Stellungnahme
(...)
... sowie die Entfernung meiner sonstigen Namen, speziell im Dualboard, aus dem entsprechenden Thread! (...)

[/quote] Leider ist es mir nicht möglich, im Dualboard irgendwelche Namen zu entfernen. BigToby sollte sich diesbezüglich evtl. an Dennis Rollinger wenden.

[wz1950]

Hallo Michael,

Rücksprache mit Thomas 'Bigtoby' hat ergeben, daß dieser auf eine Entgegnung zu Deiner Antwort z.Zt. verzichtet.

Von mir hingegen wird ein Kommentar kommen. Sachlich, aber kritisch. Zu gegebener Zeit. Momentan halten mich wichtigere Dinge in Trab.

Gruß, Wolfgang