Ich habe gestern abend mal wieder eine Ausgabe des ZDF-Boulevardmagazins für Gebildete und angehende Verbraucherschützer gesehen. Das Magazin, dessen alter Name zu angestaubt war und daher eine Erfrischungskur von "Frontal" zu "Frontal 21" (der Hauch der Zunkunft!) gemacht hat. Darin zu sehen: Ein Beitrag, der mich echt aufgeregt hat.

Es ging darum, dass "Computerexperten" die Möglichkeit haben, in die Rechner von ahnungslosen mit DSL angebundenen Firmen einzusteigen und dort vertrauliche Daten (als Beispiele wurden neben Steuererklärungen auch Businesspläne und Liebesbriefchen angeführt) entwenden können. Die Firmenchefs zeigten sich natürlich ob dieser empörenden Sicherheitslücken erstaunt und verärgert und beklagten sich, dass sie mit keinem Wort darauf hingewiesen worden seien, dass so etwas möglich sei. "Frontal 21" legte noch einen drauf und beschwerte sich darüber, dass T-Online die Kunden unzureichend informieren würde und dass nicht alle DSL-Modems eine eingebaute Firewall aufweisen würden, die vor solchen Attacken schützt.

Blicken wir einmal hinter den reißerischen Bericht. Was der Computerexperte im Beitrag vorgeführt hat war ein simpler Portscan auf offene Windowsfreigaben (Stichwort NetBIOS und SMB). Mittels ungeschützter freigegebener Verzeichnisse konnte man übers Netz (und zwar nicht nur im LAN, sondern eben auch über das Internet) beliebige Files ziehen, manipulieren, ja sogar vernichten!

Ich hätte zwar nie gedacht, dass dieser Fall mal eintreten würde, aber ich muss T-Online in Schutz nehmen.

Erstens: Wer Freigaben ohne Kennwörter einrichtet, selbst in dem Glauben dass sie nur übers LAN erreicht werden können, handelt fast schon fahrlässig. Es ist kein Problem auf allen zugangsberechtigten Computern das Passwort zu den Shares zu speichern, wenn man denn unbedingt faul sein will.

Zweitens: Im Beitrag wurde es so hingestellt, als seien nur DSL-Anschlüsse verwundbar. Das ist so nicht ganz korrekt. Es stimmt, dass DSL-Verbindungen über eine normale Netzwerkkarte laufen und daher möglicherweise standardmäßig die Freigabe der Daten aktiviert ist. Das lässt sich jedoch mit wenigen Mausklicks ändern. Wer möchte kann gern auch seine Windowsfreigaben über 14.4er Modems offenlegen -- auch wenn sich der Cracker magels Datendurchsatz wohl schwarz ärgern wird.

Drittens: Da wir gerade dabei sind. Windows' Politik, automatisch alle LAN-Verbindungen mit Zugang zu Shares auszustatten ist der größte Frevel überhaupt. Es wäre zum Beispiel ein Leichtes, das nur für private Subnetze wie 10.*.*.* oder 192.168.*.* freizuschalten. Aber auch hier wird eben der Ansatz verfolgt: Alles standardmäßig aktivieren, der User wird die Löcher schon selbst stopfen.

Viertens: Abhilfe schaffen sollen laut Frontal 21 "DSL-Modems mit NAT-Funktion". Blöd nur dass NAT nicht wirklich was mit Firewalls zu tun hat und man eine Firewall auch sehr gut ohne NAT betreiben kann.

Fünftens: Frontal 21 gab ja zu, dass die Modems nicht unbedingt NAT brauchen. Dann jedoch braucht man eine zusätzliche Firewall, die natürlich Geld kostet und das wäre so (Originalbeispiel) als würde man ein Auto kaufen und der Verkäufer sagt "Das Auto hat aber keine Bremsen, die müssen Sie beim Bremsenhersteller kaufen". Dass es auch kostenlose Firewalls gibt (Stichwort ZoneAlarm), die einwandfrei funktionieren, findet keine Erwähnung. Aber der Autovergleich gefällt mir. Deshalb bring ich auch mal einen. Es ist gesetzlich vorgeschrieben, dass sich in jedem Auto ein Verbandskasten befindet. Trotzdem ist der nicht serienmäßig vorhanden und der fiese Autoverkäufer teilt mir beim Kauf auch nicht mit, dass ich einen brauche. Schlimmer noch, ich muss ihn extra dazukaufen. Wo bleibt da die Gerechtigkeit und der Verbraucherschutz?

Alles in allem also ein schlecht recherchierter und Panik machender Bericht. Wirklichen Nutzen kann man daraus als Zuschauer kaum ziehen, höchstens vielleicht die Information dass man, wenn man DSL benutzt, auf seine Daten aufpassen muss. Aber das gilt generell für alle Computer mit Kontakt nach außen. Und dass T-Online seine Kunden darauf nicht hinweist? Es tut mir ehrlich leid, aber Mercedes Benz weist mich auch nicht darauf hin, dass ich beim Gang einlegen die Kupplung treten muss. Was ich damit sagen will? Nun, das selbe wie seit Jahren: Wir brauchen endlich sowas wie einen PC-Führerschein. Damit endlich mal die Leute aufhören zu denken sie könnten mit so 'nem Ding nichts kaputt machen.