PSN Datenklau

[Blaukool]

Wenn ich mir so meine letzten Projekte (allesamt bei namhaften deutschen Unternehmen) ansehe, kann ich sagen, dass es dort nicht nur Licht, sondern auch ganz viel Schatten gibt. Für die einen sind starke Authentisierung, Transparent Data Encryption und ein funktionierendes Monitoring- und Zugriffskontrollsystem an der Tagesordnung, anderen sind diese Sachen (noch) zuwider.

Ich hab in den letzten 6 Jahren ein einziges Unternehmen gesehen das die Datensicherheit ernst genommen hat. Krönung ist eines das alle seine Services (auch Exkasso und Stammdaten) ohne SSL, Zertifikate oder auch nur Basic-Auth betreibt. Und der ESB war (wenn man wuste wo man sucht) aus dem Internet zugänglich...

[dgalien]

Und eigentlich dürfen Belastungen (beim Einkauf im Netz) CVCode gar nicht mehr erfolgen

Genau. Wie oft hast Du schon mal Deinen CV-Code bei Amazon eingegeben? Ich genau noch nie in meinem Leben. Und ich hab erst im Januar eine neue Kreditkarte eingegeben.

Das Problem ist nicht nur Sony alleine (auch wenn man keinesfalls unter den Tisch kehren darf, dass sie wohl Lücken in ihrem System hatten), sondern auch zu einem gewissen Teil die Bequemlichkeit von uns Kunden (nicht immer alle Daten eingeben wollen, schnelle Abwicklung, etc.) und ein ganzes System (damit meine ich den ganzen Ablauf bei Kreditkarten usw.), dass Sicherheit für Schnelligkeit und Handhabbarkeit eintauscht. Darauf will keiner von uns wirklich verzichten (ich auch nicht, da nehme ich mich nicht aus).*

Bequemlichkeit und Sicherheit schließen sich nicht aus. Man kann für den Kunden alles super bequem darstellen und kann die Daten trotzdem sicher ablegen. Kreditkartennummern u.ä. in irgendwelchen Datenbanken unverschlüsselt abzulegen war in den 90ern vielleicht noch ganz schick - im Jahre 2011 ist das ein Witz. Aber ganz ehrlich - auch wenn ich selbst mit SOE von dem Ding betroffen bin (glücklicherweise bin ich da aber schon seit vielen Jahren kein Kunde mehr und die Kreditkartendaten längst nicht mehr gültig), ich bin froh, dass es auch mal einen Großen erwischt hat und nicht nur immer so kleine Onlineshop-Klitschen. Wie sagte mir noch letzte Woche ein ITSB (IT-Sicherheitsbeauftragter) eines DAX-Unternehmens: wie Fukushima Fr. Merkel zur Umkehr in der Atompolitik bewogen hat, so sieht er den Fall Sony als Wendepunkt in der IT-Security und im Datenschutz. Und das ist auch nötig. Wenn ich mir so meine letzten Projekte (allesamt bei namhaften deutschen Unternehmen) ansehe, kann ich sagen, dass es dort nicht nur Licht, sondern auch ganz viel Schatten gibt. Für die einen sind starke Authentisierung, Transparent Data Encryption und ein funktionierendes Monitoring- und Zugriffskontrollsystem an der Tagesordnung, anderen sind diese Sachen (noch) zuwider. Aber wie gesagt: Sony ändert alles.

Richtig Lustig/traurig wirds, wenn man sich Software/Systeme anschaut, die im Gesundheitswesen eingesetzt werden. Dank fehlender OnlineSchnittstellen wird da gern auf anonymous ftp und andere Unmöglichkeiten zurückgegriffen. Und natürlich ist die Software TÜV zertifiziert...

[Blaukool]

Nen TÜV Zertifikat für Datensicherheit bekommt man ungefähr 1000 mal einfacher als ne TÜV Plakette am Auto...

[EdHunter]

Wie sagte mir noch letzte Woche ein ITSB (IT-Sicherheitsbeauftragter) eines DAX-Unternehmens: wie Fukushima Fr. Merkel zur Umkehr in der Atompolitik bewogen hat, so sieht er den Fall Sony als Wendepunkt in der IT-Security und im Datenschutz.

Interessante Sichtweise. Gefällt mir. Mal schauen, ob sich das tatsächlich so entwickelt.

[Carfesch]

Wie sagte mir noch letzte Woche ein ITSB (IT-Sicherheitsbeauftragter) eines DAX-Unternehmens: wie Fukushima Fr. Merkel zur Umkehr in der Atompolitik bewogen hat, so sieht er den Fall Sony als Wendepunkt in der IT-Security und im Datenschutz.

Interessante Sichtweise. Gefällt mir. Mal schauen, ob sich das tatsächlich so entwickelt.

Glaube ich weniger...
Bei Fukushima war den meisten Leuten klar was das bedeutet, bei dem Sony-Desaster ist es nicht mal einem Bruchteil der Betroffenen klar.
Und es hat sich nur wegen der permanenten Medienberieselung (vielleicht) etwas geändert bezüglich der Atomkraft. Das mit Sony ist selbst in "Fach-"Medien nur wenig präsent, auf SPON, SZ-Online und Co. gab es zwei, drei Artikel die nur kurz zu sehen waren und vermutlich nur Interessierten aufgefallen sind.

[Neranja]

Wie sagte mir noch letzte Woche ein ITSB (IT-Sicherheitsbeauftragter) eines DAX-Unternehmens: wie Fukushima Fr. Merkel zur Umkehr in der Atompolitik bewogen hat, so sieht er den Fall Sony als Wendepunkt in der IT-Security und im Datenschutz.

Ich kann deinen grenzenlosen Optimismus nicht teilen. Der SOE Customer Support wusste noch nicht mal ob die Mail, die jeder Station-Account bekommen hat echt ist.

Heutzutage wird halt Software vom billigsten Anbieter entwickelt, und der stellt halt Inder oder Praktikanten ein und hält sich bei der Umsetzung strikt ans Pflichten/Lastenheft. Und jetzt ratet mal was da nie drinsteht. Hinten raus kommt dann meist in Software gegossene Scheiße.

Das wird vielleicht etwas besser wenn die Kreditkartenfirmen anfangen Datenschlampen in Grund und Boden auf Schadenersatz zu verklagen, aber halt auch nur da wo man mit Kreditkarten hantiert. Sobald es "nur" um persönliche Daten geht wird es für Firmen wohl weiterhin billiger sein einen PR-Feuerlöscher bereit zu halten sobald es mal brennt.

[Yat]

Schön wärs, ich sehe es allerdings nicht so.

Momentan entwickeln Apple und Google grade an Mobile Payment Systemen. Wenn man das ganze mit den Personenprofilen und Bewegungsprofilen koppelt steckt da viel zuviel Potenzial drin um Kohle zu verdienen als da man sich das von irgendwelchen Gesetzen kaputt machen lassen würde.

Sieht man ja ganz gut an der Reaktion der Politk auf das Sony Desaster, denn da tut sich garnichts.

Es müsste schon weit mehr passieren als ein paar "veröffentlichte" Personendaten um da Bewegung reinzubringen.

Die einzige Dimension die ich mir vorstellen könnte wären Kundendaten einer großen Bank inkl Kontobewegungen. Denn das würde die Leute aufrütteln, über ein paar Personendaten redet in Zeiten von Facebook, LinkedIn und Twitter doch kein Schwein mehr.

[Shadowcaster]

Nen TÜV Zertifikat für Datensicherheit bekommt man ungefähr 1000 mal einfacher als ne TÜV Plakette am Auto...

Ohoh, das würde ich nicht sagen. Das ist ein Riesenaufwand, ne ISO27001, resp. BS7799 zu kriegen.

[Ronnie Drew]

Nen TÜV Zertifikat für Datensicherheit bekommt man ungefähr 1000 mal einfacher als ne TÜV Plakette am Auto...

Ohoh, das würde ich nicht sagen. Das ist ein Riesenaufwand, ne ISO27001, resp. BS7799 zu kriegen.

Jup, die Kollegen sitzen nebenan, die ISO 27001, SaferShopping etc. betreuen.
Wir haben hier u.a. mehrere Hacker, die für uns arbeiten. Und ich war schonmal bei einem Audit bei einem Kunden dabei. Da wird so ziemlich alles geprüft, wir standen sogar im Altpapiercontainer und haben geschaut, ob die alles schön brav shreddern. Und natürlich wird auf verschiedenste Art und Weise versucht, die Firmenwebsite/datenbank zu hacken, mit ausführlichem Bericht, etc. pp.

Allerdings ist Internet/Datensicherheitszertifizierung nicht gleich Internet/Datensicherheitszertifizierung. Es gibt leider einen rechten Wust an Zertifizierern und Zertifizierungen.

Und manche Firmen denken schlicht an bestimmten Stellen nicht weit genug, oder pfuschen herum, nachdem sie zertifiziert wurden und sagen einem nicht Bescheid...

[Rom]

was ich perdu nicht begreife... 80 Mio Playstationkunden + 30 Mio. SOE kunden... das machen doch Gigabyteweise Daten aus. WArum zum Geier merkt kein schwein, wenn mal eben so ein paar tonnen Daten nach draußen gehen. Oder haben sich die Netzwerker gedacht ... coool, da macht jmd nen DB-Backup übers indernet... was es heute alles gibt! Teufelskerle die DBler...

[Hurz]

was ich perdu nicht begreife... 80 Mio Playstationkunden + 30 Mio. SOE kunden... das machen doch Gigabyteweise Daten aus. WArum zum Geier merkt kein schwein, wenn mal eben so ein paar tonnen Daten nach draußen gehen.

So riesig ist die Datenmenge da nicht und bei dem was da tagtäglich über die Leitungen geht, dürfte das schlicht und ergreifend untergehen. Ich meine wie viele Zeichen hat so ein Datensatz pro User maximal und wie groß ist der damit - 1kB vielleicht? Außerdem passiert das ja nicht auf einmal sondern über eine gewisse Zeitspanne (glaube zwei oder drei Tage waren es - das ist eher das was ich sehr dubios finde, dass es so lange nicht entdeckt blieb) und dann verteilt sich das recht gut.

[Yat]

Wenn ich mich nicht verrechnet habe komme ich auf ca 150 MB bei extrem verschwenderischen 255 Bereite für jede Spalten des Datensatzes.

Mit realistischen Spaltengrößen und Indexes drauf ists vielleicht um die 100 MB groß.

Vorausgesetzt ich habe mich nicht irgendwo verrechnet

[Rom]

also da rechne ich eher mit mehr. nehmen wir mal an 5k pro user (es wurden ja wohl auch transaktionsdaten ausgelesen etc also 1 zu n)  sind das immerhin 550 GB... naja also ich weiß nicht.
@ yat, sry, aber das glaube ich nicht, der krempel steht ja nicht in einer Tab sondern in dutzenden.
wenn ich das mal mit meiner DB vergleiche:

60000 Mandanten und 67 GB an Daten (mit Dokumenten) ohne sinds noch 4,5GB macht pro Mandant pi mal daumen 75 MB / 76 KB... da kommste mit deinen 225 zeichen aber nicht weit.

[Blaukool]

Allerdings ist Internet/Datensicherheitszertifizierung nicht gleich Internet/Datensicherheitszertifizierung. Es gibt leider einen rechten Wust an Zertifizierern und Zertifizierungen.

Genau das meine ich... Nen Zettel auf dem der TÜV dir was bestätigt, das ausreicht um die Kunden zu blenden, bekommst du einfacher.
Stimmt aber auch das wenn mans richtig macht, dann ist es arbeit 

[Ronnie Drew]

Allerdings ist Internet/Datensicherheitszertifizierung nicht gleich Internet/Datensicherheitszertifizierung. Es gibt leider einen rechten Wust an Zertifizierern und Zertifizierungen.

Genau das meine ich... Nen Zettel auf dem der TÜV dir was bestätigt, das ausreicht um die Kunden zu blenden, bekommst du einfacher.
Stimmt aber auch das wenn mans richtig macht, dann ist es arbeit 

Äh, ich bin beim TÜV und wir geben nicht einfach irgendwelche Zettel raus...