Deloitte Technology Fast 50 Central Europe 2008

In 2010 durch kancellár.hu ferngemanagte Sicherheitsereignisse:

Anz. der bemerkten Ereignisse:
Anz. der geprüften Ereignisse:
Anz. der Zwischenfälle: nicht publik

Duna Tower
1138 Budapest,
Népfürdő u. 22.
telefon: +36 1 2704tel
(2704835)
fax: +36 1 2704fax
(2704329)
email: info@kancellar.hu

Blog

2009. 01. 14.
Vorwort
Gedanken zum Start des kancellár.hu Blogs
2009. 01. 14.
Unsere Daten im Net
Wenn dem Systemadministrator nur ein kleiner...

Herstellerlinks

Unsere Daten im Net

Wenn dem Systemadministrator nur ein kleiner Fehler unterläuft.

Die unter den Link http://jezusszive.crpl.hu/a-fantasztikus-neptun-es-uzemeltetoi/ blogende JSZP brachte das Heraussickern von Daten im System des Studentenwohnheims der Pannon Universität ans Licht. Allem Anschein nach ist der uns zur Kenntnis gelangte Vorfall ein perfektes Schulbeispiel, sozusagen das Veterinärpferd für Informationssicherheit.

1. Vorfall: ein Administrator erstellt ein Datenbankbackup, welches er danach in einen öffentlich zugänglichen Ordner lädt, der von Google erreichbar ist. Das ist kein Einzelfall, probiert das mit dem Google-Schlüsselwort "phpMyAdmin SQL Dump" inurl:sql site:hu aus. Die einfachste Methode, um an Informationen zu gelangen. Man muss nichts hacken. 

2. Vorfall: in einer Datenbank werden die Passwörter nicht verschlüsselt. Eine typische Programmiererschlamperei ist, wenn nicht das MD5 hash, sondern die unverschlüsselten Wörter in der Datenbank eingestellt werden. Das ist so sehr typisch, dass wir zur Kenntnis nehmen müssen: wenn wir ein Passwort in ein Portal eintragen, ist das dasselbe, als würden wir das jedermann zur Kenntnis bringen. Wir können nur dann ganz sicher sein, wenn der Provider unser Passwort nach der Registrierung zurücksendet. 

3. Vorfall: die Art und Weise, wie persönliche Daten behandelt werden, gibt zu denken. Haben die Betroffenen ihre Zustimmung erteilt, dass die im Neptun zu Recht gespeicherten Daten in das System des Studentenwohnheims übertragen werden? Mangels Datenverwaltungs-Policy kann ich keine Meinung dazu äußern, dies ist aber eine Prüfung wert.

Unter dem Strich ist das ein vortreffliches Beispiel dafür, was Tag für Tag mit den von uns mitgeteilten Informationen passiert. Dieser Tage wurde publik, dass man die Daten von 21 Millionen deutschen Staatsbürgern kaufen kann (http://www.hirszerzo.hu/cikk.rovidhir_adatvedelmi_riado_nemetorszagban.89912.html). Es fragt sich, wie viele ungarische Staatsbürger davon in ähnlichen Vorfällen, bei denen Daten heraussickerten, betroffen sind?

Csaba Krasznay

Manager für Information-Sicherheit