Die Republik ist nur so stark wie ihre Community. Werden Sie ein Teil davon und lassen Sie uns miteinander reden. Kommen Sie jetzt an Bord!

DatenschutzFAQErste-Hilfe-Team: kontakt@republik.ch.



Ich wundere mich, dass die Viseca und die Banken nicht selber über das Leck informieren, wenn doch klar ist, dass die Geschichte sowieso veröffentlicht wird. Fehler verheimlichen zu wollen schadet doch dem Vertrauen noch mehr. Im Sinne von «Was verheimlichen die noch?» oder «Was für eine Fehlerkultur haben die eigentlich?».

Machen sie vielleicht die Rechnung, dass die Republik nicht über genug Reichweite verfügt und schlussendlich kein Hahn danach kräht?

42
/
0
Adrienne Fichter
Tech-Reporterin @ Republik
·

Guter Punkt.
Und leider könnte das Timing für den Artikel nicht schlechter sein.

24
/
0

Aussitzen hat sich (leider) als meist erfolgreiche Strategie erwiesen. Wir haben in unserem Kulturkreis eine extrem unterentwickelte Fehlerkultur.

18
/
0
Software-Mann
·
· editiert

Die technischen Hinweise sind mir etwas plump. Das Hauptproblem bei der Lücke war, dass die URLs ratbar waren. Man darf bei richtig generierten URL durchaus auf Authentisierung und Autorisierung verzichten – gerade wenn besagte PDFs nach einiger Zeit gelöscht werden.

Edit:
Dass man in jedem Fall auf Authentisierung und auf Autorisierung verzichten dürfe war ebenfalls etwas plump von mir (siehe Diskussion unten).

Edit2:
Das Gelernte hab ich hier zusammengefasst:
https://dev.to/schmijos/are-signed-…nough-4a7l

1
/
30
System Engineer
·

Uh hell no.
Das geht nur bei Daten welche wirklich auch public sind.
Security through obscurity is nie der richtige Ansatz.

28
/
0
Software-Mann
·

Eine kryptographisch starke Zufallszahl ist doch keine Obscurity.

2
/
1

Also so ein Vorgehen, wäre nicht was ich mir unter Sicherheit von Bankkundendaten vorstelle. Diese URLs landen dann auch in Logs etc. und können beliebig abgerufen werden.

22
/
0
Software-Mann
·
· editiert

Der Einwand ist richtig. Beide Sicherheitsmechanismen zusammen wären natürlich am besten.

Aber drei Aspekte entschärfen doch das von Ihnen angesprochene Log-Problem:

  • Zugriff auf die Logs legen vermutlich gravierendere Informationen zu Tage, als Abrechnungsdetails (die ja auch per Post und per Email verschickt werden).

  • Es dürfen nur die bei Viseca anfallenden Logs gezählt werden. Der Client sieht ja sowieso das PDF. Und Transit zählt auch nicht, da der Pfad-Teil der URL verschlüsselt ist (hoffentlich).

  • Die URLs laufen ab. Man kann z.B. einen Zeitstempel als Ablaufdatum signieren. Das ist universaler und weniger fehleranfällig als eine weitere Zugriffskontrolle.

3
/
5
Software-Mann
·

Den vielen Downvotes entnehme ich, dass ich etwas Grundlegendes nicht verstanden habe. Kann mir jemand erklären, was an ablaufenden geheimen URLs falsch ist?

1
/
0
Software-Mann
·

Ok, ich habe mir jetzt ein Szenario konstruiert, wo es wirklich schlecht wäre, nur eine geheime URL zu haben:

Wenn der Aussteller der URL selbst nicht auf die verlinkte Ressource zugreifen darf. Es kann ja sein, dass die Rechnungsstellung nur vermittelt wird.

Ich hätte mir aber schon gewünscht, dass einer der 20 Downvoter hier mich darauf hinweist, wieso/wann mein Vorschlag eine schlechte Idee ist.

3
/
0

Dieser Beitrag suggeriert, die Behörden “sehen sich nicht als zuständig”. Das lässt anklingen, dass sie ihren Job nicht machen. Die FINMA ist aber effektiv nicht zuständig. Der EDÖB wäre es theoretisch, ebenso wie das NCSC - wenn es denn überhaupt Meldepflichten bei Sicherheitsverletzungen von Personendaten oder bei Cyberangriffen gäbe, aber es gibt sie gar nicht, sie werden erst mit dem neuen Datenschutzgesetz bzw. dem Informationssicherheitsgesetz eingeführt, was der Beitrag unerwähnt lässt - im Gegenteil, eine Meldepflicht sei “unklar”. Das trifft nicht zu.

3
/
15
Adrienne Fichter
Tech-Reporterin @ Republik
·
· editiert

edit Vorab: Der Kommentator hat als Anwalt von Walder Wyss die Kreditkartenfirma Viseca rechtlich beraten: https://lawstyle.ch/walder-wyss-ber…stleister/

Und nun zum Inhaltlichen: Du widersprichst Dir, David.

  1. Weshalb sollte ich das neue Informationssicherheitsgesetz, das erst noch beraten wird, erwähnen, wenn sich dieses auf Betreiber von Kritischer Infrastruktur bezieht (da noch alles hypothetisch ist)? Das findet hier noch gar nicht Anwendung und ist ja noch im Beratungsstadium.

  2. Ich hab versucht im Q&A-Stil mich auf die Rechtslage jetzt zu konzentrieren. Und das Risiko zu den Daten scheint mir unklar zu sein, ich hatte diverse Juristen dazu gefragt.
    Du schreibst selbst dass der EDÖB zuständig wäre (in der ursprünglichen Version schrieb ich dass es nach neuem DSG Artikel 24 zu verfahren ist, leider fiel das der Redigatur zum Opfer bzw wir vereinfachten und beziehen uns direkt auf nDSG).

Ich hatte dem EDÖB die Beispiele vorgelegt. Die Antwort war diejenige, die ich zitiert habe. Meldepflicht der Sicherheitslücke gg EDÖB nur wenn hohes Risiko bestanden hätte. Und: wenn die Lücke ausgenutzt wäre. Ich habe die Schwachstelle für meine Recherchen ausprobiert. Die Zugriffe meldete ich allen Beteiligten. Wurde sie weiter ausgenutzt? Da müssen wir uns auf den Stand von Viseca berufen.

Das "unklar" ist für mich gerechtfertigt..denn der Sachverhalt ist für mich nach neuem DSG nicht klar.

27
/
0

Naja, das von Dir indirekt erwähnte neue DSG findet genauso wenig Anwendung wie das von Dir nicht erwähnte ISG - ich dachte, das sollte die Leserschaft interessieren.

1
/
15
Timo Würsch
Informationsarchitekt
·

Solche Vorfälle (und es gibt sie doch recht häufig) zeigen meiner Meinung nach, dass die IT-Industrie immer noch eine relativ unreife Industrie ist, in der sich dieselben - oft sehr grundlegenden - Fehler wiederholen.

Eine tatsächlich reife Industrie hätte Mechanismen geschaffen, die es verunmöglichen, dass solche Probleme überhaupt auftreten. Heisst: Verbindliche organisatorische und vor allem auch technische Standards. Also Regulierung und Überwachung.

Zum Glück sind es nicht Informatiker, die Flugzeuge bauen :)

28
/
1

Beim Flugzeugbau gibt es entsprechende Regulierung und Überwachung, schon rein aus Eigeninteresse der Branche. Flugzeugabstürze sorgen halt für mehr negative Presse als ein paar „verloren gegangene“ Datensätze…

Irgendwie haben wir (alle, inklusive Politik) uns daran gewöhnt, dass solche Fehler halt passieren. Vielleicht wäre es angesichts der weiter wachsenden Bedeutung des Digitalen an der Zeit, über weitergehende Haftpflicht-Regeln nachzudenken. Solche würden es für Unternehmen finanziell interessant machen, Sicherheit von Anfang an mitzuberücksichtigen.

27
/
0

Gerade in der Flugzeugbranche hatten sich aber auch Abgründe aufgetan: Boeing hat sich bei den richtigen Politikern das Recht gekauft, seine Flugzeuge selber zu zertifizieren. Das Resultat waren 100e Tote und das zeitweise Grounding eines Flugzeugtyps.
Das Problem ist viel fundamentaler: Es gibt Dinge, die dürfen nie (!) privatisiert und ökonomischen Zwängen ausgesetzt werden. Wir sehen seit ein paar Jahren, dass sich die Schweiz damit, dass sie diese Regel wegen $$$ missachtet, selbst zerlegt.

18
/
0
Software-Mann
·

Ich denke auch, dass es wichtig wäre, mehr zu regulieren. Ich würde mich gerne als Teil einer Ingenieursdisziplin verstehen. Und nicht als Bastler.

18
/
0

Die IT industrie ist eigentlich nur in Richtung Web jung, resp darf sich (noch) so verhalten. An die Software in Geraeten sind die Anforderungen ganz anders. Ein Medizingeraet einmal pro Tag neu booten ? Ein Autocontroller welcher hin und wieder eine Vollbremsung macht ? Ein Geldautomat, welcher hin und wieder falsch zaehlt ? Gibt's schon lange nicht mehr. Weil sich Schaeden auch beziffern lassen.

8
/
0
· editiert

Wenn man für Web-Software immer den billigsten Anbieter wählt, wen wundert‘s? Bei einem guten Anbieter der sich entsprechend ausgebildetes Personal leistet, passiert sowas Dummes kaum.

3
/
0
System Engineer
·

«Grundsätzlich gehen wir davon aus, dass diese Sicherheits­schwäche deshalb unentdeckt blieb, da sie gemäss unseren Abklärungen zu keinem Zeitpunkt von irgend­welchen Dritten ausgenutzt wurde.»

Wie heisst es so schön? Die besten Geschichten schreibt das Leben selbst :D

14
/
0

Das zeigt, was für eine verrottete und unkontrollierte (gewollt unkontrollierbare?) Branche die Finanzwelt ist. Ich arbeite seit Jahren als Elektronikentwickler im Bahnbereich. Dort sind die Anforderungen an die funktionale Sicherheit inzwischen extrem hoch (SIL4 wem das was sagt) und eine Anlage darf erst eingesetzt werden, wenn sie begutachtet ist. Ein solches Gutachten dauert schon mal 18 Monate und kostet >250kFr. Jede kleine Änderung (bis zu einer simplen Kommentaränderung im Sourcecode) erfordert eine Auswirkungsanalyse, die sowohl dem Gutachter wie (in CH) dem BAV gemeldet werden muss.
Aber hier gilt: gut ist, was Gewinne in die richtigen Kassen spült. Und wenn dabei ein ganzer Staat dafür drauf geht. Sicherheit (im Sinne von Security, aber auch Safety)? Sicher nicht, darf nichts kosten.

20
/
0

Die Sicherheit des Zahlungsverkehrs (inkl. Datenschutz und inkl. Bankgeheimnis) soll die finma etwas angehen? Nein, sie ist nur für das Vertrauen in den Finanzplatz zuständig, also zum Beispiel daür, dass man Vertrauen haben kann in den Zahlungsverkehr und in die Banken.

Wenn die finma keinen Grund zum Eingreifen entdecken konnte, als bei der CS Skandal auf Skandal folgte, und wenn die finma keinen Grund zum Eingreifen entdecken konnte, wenn immer mehr Leute das Vertrauen in die CS verloren, und wenn die finma keinen Grund zum Eingreifen entdecken konnte, wenn bei der CS immer mehr Mittel abflossen... und so weiter, wie soll da die finma einen Grund zum Eingreifen entdecken können, wenn der Zahlungsverkehr nicht mehr sicher ist?

Also: habt einfach Vertrauen. Es ist sowieso alles so komisches elektronisches Zeugs.

Übrigens: es ist selten, dass ein Dieb eine Visitenkarte zurücklässt. Das kommt nur in der Unterhaltungsliteratur vor. Trotzdem heisst es in aller Naivität: "wir gehen davon aus, wir nehmen an, wir vertrauen, usw.. Und haben keine Ahnung, Wir machen die Augen zu und denken, dass man uns nicht sieht.

15
/
1
Adrienne Fichter
Tech-Reporterin @ Republik
·

Ja die FINMA ist gerade anders beschäftigt (wie wir wissen) und schrieb mir dass sie nicht für die Aufsicht der Viseca zuständig sei. Mir ist daher nicht klar wer genau die Datensicherheit eines Finanzdienstleisters wie eben bei einem Kreditkartenherausgeber technisch proaktiv und permanent überprüft.

6
/
0

Dafür sind doch die Kunden zuständig, die melden sich dann schon, wenn etwas nicht stimmt. Wie in diesem Fall ja auch.

5
/
0

Sieht man schön, dass viele Transaktionen eigentlich Privatausgaben sind, die über das Geschäft laufen um Steuern zu sparen. Aber klar, da ist immer ein Kunde dabei... jeden Mittag und bei jedem Znüni...

5
/
14

Hä, wo sehen Sie das? Auf dem abgebildeten Auszug ist gerade mal ein Restaurantbesuch drauf. Dazu kommt ein Einkauf bei Denner und einer bei Sprüngli. Wo sehen sie da "jeden Mittag" und "bei jedem Znüni"?

6
/
0

War mehr eine grundsätzliche Aussage. Ist halt das erste das auffällt. Gehen sie mal mit jemandem der eine Firma hat Essen, dann sehen sie's selber. Ist ein Volkssport.

13
/
7

Nur ist dies eine Kreditkarten Abrechnung und keine Steuererklärung.

1
/
0
· editiert

"Meldepflicht der Sicherheitslücke gg EDÖB nur wenn hohes Risiko bestanden hätte. Und: wenn die Lücke ausgenutzt wäre. "
Ist natuerlich Juristen Schwachfug, das vor gar nichts ausser einem Gericht mit duemmlichen Richtern durchkommt. Der Schaden ist da, es wurde nichts dagegen getan, im Gegenteil. Ich will damit andeuten ein schlechtes Gesetz schuetzt den Verursacher nicht.
Wie eine Serviceanleitung zu einer Bruecke : Wartung ist nur noetig, wenn sie auch befahren wird. ZB bei der Bruecke von Genua. Uups, die Bruecke wurde entgegen unseren Annahmen doch befahren. Der Schaden ist da, es wurde nichts dagegen getan.

6
/
1

Falsch. Die 'Brücke" wurde hier ja nicht befahren. Es gab genau 7 Abfragen von der Republik und zwei weitere. Es gab also keinen Schaden. Verständlich hat man die theoretisch möglichen Betroffenen nicht informiert. Was hätte man schreiben sollen? Sie hätten betroffen sein können, waren es aber nicht, Papierverschwendung. Nichtsdestotrotz ein peinlicher IT-Fehler aus dem man lernen sollte.

0
/
3
Adrienne Fichter
Tech-Reporterin @ Republik
·

Sie scheinen für die Viseca zu arbeiten, wenn Sie die genaue Zahl der Zugriffe kennen. Können Sie mir erklären wie Sie genau anhand der Logdateien unterscheiden können, wer nun in jenen 18 Monaten genau berechtigt war auf die PDFs zuzugreifen und wer nicht? Das ist mir technisch gesehen immer noch etwas rätselhaft.

2
/
0

Anonym3. Die auf ihrer Schiene denkenden gehen davon aus, dass das Datenleck schon der Schaden ist. Und der sich daher mit der Anzahl Datensaetzen multipliziert. Ich gehe im Gegensatz dazu von einem zufaelligen, oder gezielten Missbrauch der enthaltenen Daten aus. Falls zum Beispiel die belegte Aussage, dass ich in jenem Restaurant zu jener Zeit einen Kaffee hatte die Welt aus den Angeln hebt. Das skaliert dann eben nicht mit der Anzahl Datensaetze. Die Wahrscheinlichkeit dazu schon. Deswegen ist eine schnelle Benachrichtigung wünschenswert. Nein, nicht auf Papier.

2
/
0
(durch User zurückgezogen)