Nachrichten aus den Nachbarlaendern erreichen uns hoechst selten. Wir sind viel zu viel mit uns selbst beschaeftigt. Umgedreht ist es genau so - keiner aus dem Ausland interessiert sich fuer Nachrichten aus Deutschland. Also ausgleichende Gerechtigkeit.
Seit einiger Zeit treiben einige Teilnehmer unter der Bezeichnung #Anonymous im Internet ihr Unwesen, um Webseiten zu hacken und die erbeuteten Daten zu veroeffentlichen. Eigentlich ist das das ureigenste Tun eines Hackers. Aber das Internet ist erwachsen geworden und so regiert der Kommerz und es reagiert der Rechtsanwalt befremdet. Abgesehen von professioneller Industriespionage setzt sich die Hacker-Ethik ein erklaertes Ziel: Informationen sind fuer alle da. Und so wurden die Informationen herausgeholt aus den Spielkonsolen-Netzwerken von Sony und der US-Security-Firma Stratfor. In den Niederlanden wurde die Certificate Agency (CA) DigiNotar virtuell ueberfallen und somit alle SSL-Zertifikate, die von dieser Agentur ausgestellt worden sind, kompromitiert. Die Reaktionen sind sehr unterschiedlich: Man ist pikiert, wuetend, schadenfroh, unglaeubig - und letztlich pleite, wie die Firma DigiNotar.
Jetzt hat es auch die Koninklijke Posterijen Telegrafie en Telefonie Nederland, kurz KPN, erwischt. KPN, ehemals Staatsbetrieb, seit 14 Jahren privatisiertes Boersenunternehmen, ist der groesste Internet Service Provider der Niederlande. KPN schliesst seine Kunden ans Telefon-, Mobilfunknetz und das Internetz an. Nebenbei gibt es noch so Gimmicks wie Email und Webhosting. Letzteres wurde dem Provider zum Verhaengnis: Ueber eine Kundenhomepage gelang der Einstieg ins System. Die Aussagen ueber die Ausmasse waren widerspruechlich. Von 20 GB Daten war die Rede, die den Inhaber gewechselt haben. Von voellig veralteten Softwareinstallationen war die Rede, die letztenendes zum Erfolg des Hacks fuehrten. Der Super-GAU schlechthin. Natuerlich wurde die Aktion Donnerstag/Freitag gestartet, denn am Wochenende wird in den meisten Firmen nicht gearbeitet - freie Hand fuer die Hacker.
Wie schon oben erwaehnt, kann man nun auf die verschiedensten Arten auf so ein Ereignis reagieren. Entweder macht man es zum Problem Anderer Leute Feld (PAL) und reagiert gar nicht. Man koennte auch weitere Falschmeldungen in die Welt streuen (sogenannte Nebelkerzen). Bemerkenswert fand ich die Reaktion der KPN. Uebers Wochenende wurde das Webmail-System abgeschalten, um den massiven Account-Diebstahl zu unterbinden und die Lage zu sondieren. Dazu wurden die gehackten Rechner vom restlichen System isoliert. 539 Accounts waren definitiv verloren. Telefonnummern, Adressen, Passwoerter ... die Inhaber klagten ueber falsche Pizzabestellungen an ihre Adresse oder die Lieferung einer LKW-Ladung Sand. Die Daten findet man letztlich bei pastebin.com. Das restliche System war in Ordnung und wurde wieder ans Netz genommen. Die Webmailbenutzer wurden aufgefordert, sicherheitshalber ihr Passwort zu aendern. Das war Sonntag. Montag erschien dann diese halbseitige Anzeige, in der die KPN ihre Kunden um Entschuldigung fuer die Unanehmlichkeiten bittet. Wer tatsaechlich durch 2 Tage Webmailausfall einen finanziellen Schaden erlittet hat, wird umgehend innerhalb von 30 Tagen entschaedigt. Ein spezielles Team nimmt ueber ein Schadensformular 15 Monate lang die Meldungen ueber Schaeden zu diesem Vorfall entgegen. Respekt! Wie ist sowas in so kurzer Zeit moeglich? Das Krisenmanagement scheint hervorragend zu funktionieren. Und wie konnte es ueberhaupt zu dem Hack kommen? Veraltete Software. Klar, um solche Produktionssysteme upzudaten sind mehrere Abteilungen beteiligt: Entwicklung. Test, Installation, Betrieb ... es kann schon das eine odere andere Update auf der Strecke bleiben. Meist wird es mit Geld- oder Personalmangel entschuldigt. Vielleicht gibt es auch fuer eine Software keinen Support mehr, und auch keinen adequaten Ersatz. Und warum sollte man Passwoerter im Klartext in der Datenbank abspeichern wie in der Datenbank des gehackten Webshops? Auch da kann es Software-Inkompatibilitaeten geben, die ein ordentliches Abspeichern mit Verschluesselung verhindern. Alles in allem also sehr viele Betaetigungsfelder fuer die IT-Abteilung einer Firma. Und noch viele Moeglichkeiten fuer #Anonymous.