Dienstag, 11. Juli 2017

Wein-LAN #3: eine Auswertung

Der Abend ist vorüber, und es war ein schöner Abend. Das Wetter hat mitgespielt, die Besucher waren da (nach meiner Schätzung so ca. 100 - 120 Personen in der Spitze) und die Sache mit dem WLAN hat auch geklappt. Der Abend muß gut gewesen sein, denn von den 9 Weinen auf der Weinkarte waren zum Schluß 3 Sorten ausgetrunken.

Hier einige Eindrücke von diesem Abend:
der Weinstand am 7. Juli 2017
um 19 Uhr um 20 Uhr um 21 Uhr um 22 Uhr


Nutzung

Interessant ist natürlich die Frage, ob und in welchem Umfang das WLAN genutzt wurde. Dazu hier ein Bild:


Klicken Sie doch einfach in das Bild und schon erscheint es in groß.

Aus dem Bild könne Sie ersehen, daß die Geräte gegen 16:30 Uhr ein- und gegen 22:15 Uhr ausgeschaltet wurden. Und so gegen 21 Uhr waren 19 Smartphones im WLAN-Netz angemeldet. Insgesamt wurden über den gesamten Zeitraum von ca. 6 Stunden etwa 2 GB an Daten übertragen, d.h. das Angebot wurde genutzt.


Bewertung

Anstelle einer eigenen Bewertung der Aktion möchte ich auf einen Artikel im Wiesbadener-Kurier verweisen, der einen Tag vor unserer Weinstand-Aktion erschienen war:


Das sehe ich auch so, ein Internetzugang gehört dazu. Und ein öffentliches WLAN wird eine Selbstverständlichkeit werden, analog zu elektrischem Licht. Im Ausland ist dies heute schon so, in Deutschland dauert dies noch, auf jeden Fall wird es in Wiesbaden noch etwas dauern.

Den angegebenen Artikel aus dem WK finden Sie hier: Störerhaftung aufgehoben: Gastronomen und Hoteliers in Wiesbaden erleichtert .

Sonntag, 2. Juli 2017

Wein-LAN #3


In Erbenheim gibt es wieder jeden Freitag den Weinstand, an der alten Stelle zwischen evang. Kirche (Pauluskirche) und Rathaus, also zwischen Ringstrasse und Wandersmannstrasse. Und wie in den vergangenen Jahren wird der Weinstand betrieben von den Erbenheimer Vereinen, im Wechsel, d.h. jeden Freitag betreibt ein anderer Verein den Weinstand. Am 7.7. wird der Weinstand betrieben von der SPD-Erbenheim.

Dies wäre noch keine Meldung wert auf diesem Blog, aber es soll wieder WLAN geben, und natürlich Wein und Kleinigkeiten zu essen. Und WLAN ist dann schon ein Thema für diesen Blog.

In 2016 gab es den ersten Versuch, am Weinstand zusätzlich freies WLAN anzubieten. Hier hatte ich diese beschrieben:

Dieser Weinstand hat auch eine Seite auf Facebook: Erbenheimer Weinstand, und hier finden Sie die Ankündigung für den 7.7.: Erbenheimer Weinstand bewirtschaftet von der SPD.

Der Weinstand öffnet um 17 Uhr und schließt um 22 Uhr. Wie schon geschrieben wählt jeder Verein aus, von welchem Winzer er Weine an diesem Weinstand präsentiert und verkauft. Für den 7.7. hat die SPD in Erbenheim das Weingut Friedel Russler in Walluf ausgewählt. Wenn Sie schon einmal in Walluf am dortigen Weinstand waren, dann kennen Sie sicherlich dieses Weingut.

Aber das Thema dieses Blogs ist die IT, also vorwärts zum Thema WLAN. Am Weinstand werden Sie dieses Schild vorfinden:


Nehmen Sie dann einfach Ihr Smartphone, schalten Sie WLAN ein und lassen Sie das Smartphone sich mit dem WLAN mit den Namen wiesbaden.freifunk.net verbinden. Diesen Vorgang hatte ich schon einmal ausführlich beschrieben: Anmeldung, speziell für Andorid, aber auch für iPhone. Nach der Anmeldung können Sie dieses WLAN nutzen, einfach so.

Technisch realisiert wird das WLAN mit der Unterstützung durch Freifunk Wiesbaden. Auf der Wikipedia finden Sie einen Beitrag zu Freifunk und die Gründe dafür. Die Wiesbadener Freifunker werden Sie aber nicht am Weinstand finden sondern auf der Reisingeranlage, denn dort soll die am gleichen Abend stattfindende Filmvorführung mit WLAN versorgt werden.

Technisch realisiert wird das WLAN am Weinstand durch folgende Geräte:

die eingesetzten Geräte
einen Router, der für das
WLAN-Angebot zuständig ist
TP-Link TL-WR842N
einen kleinen PC, der die Daten
vom Router abholt, verschlüsselt
und in das Freifunk-Netz einspeist
Fujitsu FUTRO S700
einen UMTS/LTE-Stick, der die Verbindung
zum nächsten Funkmasten herstellt
und dorthin Daten übergibt bzw.
von dort Daten empfängt
Huawei E3372h

Irgendwo im Weinstand versteckt werden Sie diese Geräte finden. Den Erfolg dieser Aktion können Sie auf der Karte von Freifunk verfolgen, und hier kommen Sie direkt zu diesen Knoten auf der Karte: Wein-LAN.

WLAN ist eine Technik, über die sich ein Computer mit dem Internet verbindet. Und Internet wird so selbstverständlich werden wie elektrisches Licht, das auch einmal etwas außergewöhnliches war und das nicht jeder hatte. Aber niemand würde an einen Ort wie den Weinstand gehen, weil dort elektrisches Licht als Attraktion geboten wird und man somit etwas lesen kann (obwohl ich dies auch schon gemacht habe, an einem Weinstand gesessen, ein Buch lesend und ein Glas Wein vor mir stehen hatte). Und so wie heute elektrisches Licht als eine Selbstverständlichkeit angesehen wird, so wird ein Zugang zum Internet eine Selbstverständlichkeit werden, so dass man sich nicht mehr vorstellen kann, wie das einmal ohne dieses Internet ging. In Deutschland wird dies noch etwas dauern, aber diese Einsicht wird kommen (da bin ich mir sicher). Und 3 Jahre später wird diese Einsicht auch in Wiesbaden wachsen; ich bin da optimistisch.

Samstag, 20. Mai 2017

Mitleser


Über die Sicherheit des PIWI-Servers, betrieben von der Stadt Wiesbaden, hatte ich mich ja schon ausgelassen: TLS, TLS (2) und TLS (3). Leider hat sich am Status dieses Servers in den vergangenen Monaten nichts geändert, deshalb möchte ich auf das Thema zurückkommen.

In der Vergangenheit hatte ich dargestellt, wie man in diesen Server eindringen kann, um diesen Server für fremde Zwecke einzuspannen, ihn zu mißbrauchen. Und heute möchte ich Ihnen einen Weg präsentieren, wie man die Daten, die zwischen diesem Server und dem Computer eines Besuchers hin- und hergeschickt werden, mitlesen kann, d.h. die Sicherheit, die der Server vorgibt, kann ausgehebelt werden. Dazu muß man an diesem Server nichts verändern, man benötigt nur die Daten, die von diesem Server kommen bzw. an ihn gerichtet sind.

Aber ich werde Ihnen nicht zeigen, wie man das macht, denn das kann ich nicht und wenn ich es könnte, würde ich es Ihnen nicht zeigen. Aber ich werde Ihnen zeigen, an welchem Punkt man den Hebel ansetzen kann.

Das Internet ist ein offenes Netz, jeder kann mitlesen, wenn er einen Zugriff auf das richtige Kabel bzw. einen Computer auf dem Weg der Daten hat. Einen solchen Angriff nennt man Man-in-the-Middle-Angriff. Es gibt nur einen Schutz gegen solche Versuche:

Gegenmaßnahmen


Sicherung vor Mitlesen


Am effektivsten lässt sich diese Angriffsform mit einer Verschlüsselung der Datenpakete entgegenwirken

Quelle: angegebener Artikel in der Wikipedia

Genau dies macht der PIWI-Server, er verschlüsselt die Daten, die zwischen dem Computer eines Besuchers und diesem Server hin- und hergeschickt werden. Aber er macht dies schlecht, sehr schlecht. Und diese Aussage will ich mit diesem Text begründen.


Status

In meinem ersten Text zum Thema PIWI hatte ich bereits auf das Unternehmen Quality SSL Labs hingewiesen, dessen Geschäftsfeld die Sicherheit solcher Server ist. Auf der Seite dieses Unternehmens kann man eine Serveradresse eingeben und danach wird dieser Server automatisiert auf Sicherheit geprüft. Dies hatte ich für meinem ersten Text getan und das damalige Ergebnis dargestellt: Stand damals und Stand heute. Aus der Vielzahl der Informationen, die auf dieser Seite zum PIWI-Server präsentiert werden, hatte ich nur die Zusammenfassung dargestellt. Und mit diesem Text möchte ich eine weitere Angabe von dieser Seite hier präsentieren und Ihnen die dargestellten Informationen ein wenig erläutern. Und das sind die Informationen, dich ich in diesem Text behandle:

Wenn ein Anwender sich auf diesem Server anmeldet, dann werden die Daten, die zwischen dem Computer des Anwenders und dem Server hin- und hergeschickt werden, verschlüsselt. Soweit so gut. Es gibt verschiedene Verfahren zur Verschlüsselung von Daten, die sich über die Jahrzehnte entwickelt haben; manche sind gut, andere sind schlecht, die meisten Verfahren aus der Vergangenheit sind heute einfach überholt.

In der abgebildeten Liste finden Sie die 8 Verfahren, die der PIWI-Server anbietet, und zu jedem Verfahren finden Sie eine Bewertung. Sie sehen diese beiden Worte: INSECURE und WEAK. Nach Meinung der Fa. Quality SSL Labs sind diese Verfahren entweder unsicher oder schwach, wobei schwache Verschlüsselung noch die beste Note ist, die in dieser Liste auftaucht.

In der Reihenfolge, in der der Server die Verschlüsselungsverfahren anbietet, möchte ich einige Worte zu diesen Verfahren verlieren. Aber einige Worte vorweg.

Hervorhebungen

Die in diesem Text angegebenen Zitate enthalten Hervorhebungen, die im Original nicht vorhanden sind, d.h. ich habe einzelne Worte eines Zitats besonders markiert.

INSECURE

Also unsicher, das ist die Bewertung des eingesetzten Verfahrens. Eine unsichere Verschlüsselung ist so gut wie keine Verschlüsselung, anders formuliert, man sollte ein so bewertetes Verfahren nicht mehr verwenden.

WEAK

Also weich. Das ist besser als unsicher, aber kein stabiles (=hartes) Verfahren. Das sollte man besser nicht mehr verwenden.

Welches Verfahren bleibt da noch übrig? Auf diesem Server keins.

RC4

Das ist die Abkürzung für ein Verschlüsselungsverfahren, dessen Beschreibung Sie hier finden: RC4. Es gilt heute als nicht sicher:
Der erste praktische Angriff auf die RC4-Chiffre gelang Scott Fluhrer, Itsik Mantin und Adi Shamir im Jahr 2001.

Quelle: Wikipedia-Artikel zu RC4

Bitte beachten Sie die Jahreszahl: 2001. Inzwischen ist viel passiert, die Computer wurden weiterentwickelt und haben heute eine höhere Leistungsfähigkeit. Es steht die Aussage im Raum, daß man Daten, die nach diesem Verfahren verschlüsselt wurden, heute in Echtzeit (also praktisch sofort) entschlüsseln kann. Weitere Details dazu finden Sie hier: Let me GOOGLE this for you.

Die Entscheidung bezüglich dieses Verschlüsselungsverfahrens ist gefallen:
Im Februar 2015 wurde mit RFC 7465 der Einsatz von RC4 im Rahmen von TLS verboten, da es erhebliche Sicherheitsmängel aufweist.

Quelle: RC4-Artikel in der Wikipedia

This document requires that Transport Layer Security (TLS) clients and servers never negotiate the use of RC4 cipher suites when they establish connections. This applies to all TLS versions.
Quelle: Prohibiting RC4 Cipher Suites

Die Stadt Wiesbaden beachtet diese Vorgabe nicht.

Nun zu den einzelnen angebotenen Verfahren.

Fragestellung

Damit Sie sich ein Bild von Verschlüsselungen machen können, präsentiere ich Ihnen hier ein Beispiel eines verschlüsselten Textes.
iQEcBAABCgAGBQJZGdA8AAoJELtGpOiAUdjoVMEIAIw+vnVwnaNnTTq4pu3E8w25
riDTELoVxazvBzcTRoRuwbCjjXxR8d+pZgmhe2Lf9WRtp3i7UfHC1CIwb7CbJTMm
hpMpIbls60cljKrxcUn3lnC8GmYsbeGLdNjBEhN0PYX2YqnzMeIHuDzkLH6u04eE
u+w5bEUtfuCqi5KuuakaKCVKo4eoP3/5PQ5WX7PaLx4rJ96YrFplkOi9RG4kTY7q
MxhcEz3e+JiEq9aT27EC3fb07PKF5bEd/08XrAPpn3NLqHkNuDIXJKiATEv8w58V
SJ3lBz4PBdOgxGQPa68Z2en/76Wp6UmJx6Km5IVCB4AQkiFlW/A7WwzCnYtBgO4=

Quelle: irgendeine verschlüsselte Mail, die ich mal schrieb

Das können Sie nicht lesen? Das sollen Sie auch nicht lesen können! Das ist der Sinn einer Verschlüsselung. Aber irgendwie wollen Sie das doch lesen, denn Sie haben diesen Server (=PIWI) aufgerufen, damit Sie die Seite auch angezeigt bekommen und den Inhalt der Seite lesen können. Und dafür benötigen Sie:
  • den verschlüsselten Text (siehe dieses Beispiel)
  • die Information, mit welchem Verfahren dieser Text verschlüsselt wurde
  • den Schlüssel, denn ohne Schlüssel können Sie (genauer: Ihr Computer) diesen Text nicht lesbar machen
Für den Austausch eines solchen Schlüssels zwischen dem Server und Ihrem Computer gibt es feste Regeln: Schlüsselaustauschprotokoll. Dieser Austausch des notwendigen Schlüssels wird aufwändig abgesichert, sollte also in einer Form geschehen, daß ein Mitleser dies nicht versteht, denn mit diesem Schlüssel und dem Wissen, welches Verfahren verwendet wurde, kann jeder Mitleser die Nachricht in lesbaren Text umwandeln.

Das reicht aber noch nicht. Irgendwie muß auch sichergestellt sein, daß die Daten auf dem Weg zu Ihrem Computer nicht nur nicht mitgelesen sondern auch nicht verändert wurden. Sagt Ihnen das Schlagwort Emser Depesche etwas? Damals führte die Veränderungen an der Nachricht zum Krieg; soweit wird es wohl nicht kommen, wenn eine PIWI-Nachricht verändert wird, aber trotzdem will ich keine Veränderungen an einem Text haben. Diese Fragestellung nennt sich Nachrichten-Authentifizierung.

Zurück zum PIWI-Server, hin zu den einzelnen Verfahren, die dieser Server als seine Fähigkeiten anbietet.

TLS_RSA_WITH_RC4_128_MD5

Dies ist das erste Verfahren, das dieser Server anbietet. Es wird als INSECURE bewertet.

Es besteht aus diesen Teilen:
  • Verschlüsselung nach dem Verfahren RC4
  • der Austausch der Schlüssel erfolgt nach dem RSA-Verfahren
  • der übermittelte Text wird nach dem Verfahren MD5 geprüft, ob er unterwegs verändert wurde

TLS_RSA_WITH_RC4_128_SHA

Dies ist das nächste Verfahren, das dieser Server anbietet. Auch dieses wird als INSECURE bezeichnet.

Es besteht aus den Teilen: Verschlüsselung nach RC4, Schlüsselaustausch nach RSA und Integritätsprüfung nach SHA-1.

TLS_RSA_WITH_3DES_EDE_CBC_SHA

Dies Verfahren wird als WEAK bewertet. Es ist somit das beste der angebotenen Verfahren. Es besteht aus den Teilen: Verschlüsselung nach 3DES, Integritätsprüfung nach SHA-1 und Schlüsselaustausch nach RSA.

TLS_RSA_WITH_DES_CBC_SHA

Das Verfahren wird als INSECURE bewertet. Es besteht aus folgenden Teilen: Verschlüsselung nach DES, Integritätsprüfung nach SHA-1 und Schlüsselaustausch nach RSA.

TLS_RSA_EXPORT1024_WITH_RC4_56_SHA

Das Verfahren gilt als INSECURE. Es besteht aus folgenden Teilen: Verschlüsselung nach RC4, Integritätsprüfung nach SHA-1 und Schlüsselaustausch nach RSA.

In diesem Wort taucht der Ausdruck EXPORT1024 auf. Ist Ihnen dies aufgefallen? Er besagt, daß dieses Verfahren und die entsprechende Software aus den USA exportiert werden darf. Es gab einmal Zeiten, da haben die USA den Export von Verschlüsselungsverfahren und entsprechender Software verboten und diese Version war erlaubt, das wurde durch diesen Ausdruck gekennzeichnet. Im Jahre 1999 wurde dieses Verbot aufgehoben, warum wohl? Honi soit qui mal y pense. Dieses Verfahren erfüllt somit die Vorgaben der US-Regierung, die 1999 aufgehoben wurden.

TLS_RSA_EXPORT1024_WITH_DES_CBC_SHA

Dieses Verfahren gilt als INSECURE. Es besteht aus folgenden Teilen: Verschlüsselung nach DES, Integritätsprüfung nach MD5 und Schlüsselaustausch nach RSA.

Auch dieses Verfahren durfte aus den USA exportiert werden und das bereits vor 1999. Sie erkennen daran, wie schwach die Verschlüsselung ist.

TLS_RSA_EXPORT_WITH_RC4_40_MD5

Auch dieses Verfahren gilt aus INSECURE. Es besteht aus folgenden Teilen: Verschlüsselung nach RC4, Integritätsprüfung nach MD5 und Schlüsselaustausch nach RSA. Das Verfahren durfte bereits vor 1999 aus den USA exportiert werden.

TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5

Auch dieses Verfahren wird als INSECURE bewertet. Es besteht aus den Teilen: Verschlüsselung nach RC2, Integritätsprüfung nach MD5 und Schlüsselaustausch nach RSA.

Der Server bietet dieses Verfahren als letztes an, es gilt allgemein als unsicher. Bereits 1997 wurde vorgeführt, wie man damit verschlüsselt Daten knacken kann.


Bewertung

Der Server verwendet Methoden zur Verschlüsselung von Daten, die grösstenteils aus den 1990er Jahren stammen und heute überholt sind, da sie unsicher sind. Für die meisten der angebotenen Verfahren gilt diese Aussage:
Die Internet Engineering Task Force (IETF) lässt keinen Zweifel an ihren Absichten: Mit dem Request for Comment 7465 verbietet sie den Einsatz des Verschlüsselungsverfahrens RC4 im Rahmen der Transport-Verschlüsselung TLS. Die IETF ist das wichtigste Standardisierungsgremium des Internets, hat allerdings keine Möglichkeit, die Einhaltung seiner Standards zu erzwingen.

Quelle: IETF verbietet RC4-Verschlüsselung in TLS

Und bei diesem Server setzt die Stadt Wiesbaden weiterhin dieses Verfahren ein. Die übrigen Verfahren dieses Servers sind besser, aber heute auch überholt.


Fazit

Die Sicherheit dieses Servers ist nicht gegeben, der Server gaukelt Sicherheit nur vor.

Natürlich kann man argumentieren, daß sich auf diesem Server nur Stadtpolitiker anmelden, Sie als normaler Bürger also nicht betroffen sind. Aber neben den Gefahrenpunkten, die ich in der Vergangenheit bereits beschrieben habe, gibt es einen weiteren Aspekt: Wie geht die Stadt Wiesbaden mit den Daten ihrer Bürger um, wenn sie mit den Daten aus der Stadtpolitik schon so sträflich umgeht? Wie sicher sind unsere Daten bei der Stadt Wiesbaden?

Dienstag, 9. Mai 2017

WLAN mit Vertrag


Wenn Sie das WLAN am Rathaus benutzen wollen, müssen Sie vorher einige Schritte durchlaufen, ohne die Sie nicht ins Internet gelassen werden. Einer dieser Schritte ist die Zustimmung zu einem Text, und mit dieser Zustimmung schliessen Sie einen Vertrag mit der Stadt Wiesbaden über die Nutzung des Internets. Kennen Sie diesen Vertrag? Haben Sie sich diesen Vertrag einmal angeschaut? Haben Sie ein Exemplar dieses Vertrages?

Jura ist glattes Eis, ich begebe mich trotzdem mal auf dieses Eis. Trotz meines Defizits auf diesem Gebiet will ich mich mit diesem Vertrag beschäftigen, einem juristischen Thema. Andere Aspekte dieses WLANs hatte ich schon einmal dargestellt: WLAN am Rathaus. Und in diesem Text möchte ich einige Anmerkungen zum juristischen Teil machen.


Vorbdemerkung

Ich schrieb ja bereits, daß ich kein Jurist bin. Sollte mir deshalb ein Fehler unterlaufen, so hoffe ich auf Ihr Verständnis und bitte um einen kurzen Hinweis auf meinen Fehler. Für diesen Zweck habe ich die Mail-Funktion auf dieser Seite eingerichtet, die Sie am rechten Rand finden1).

Technik

Vor der Nutzung des WLANs am Rathaus bekommen Sie einen Vertrag präsentiert, dem Sie zustimmen müssen, denn ohne Ihre Zustimmung zu diesem Vertrag lassen die Stadt Wiesbaden und ihr Vertragspartner, die Fa. Hotsplots, Sie nicht ins Internet. Am 29.04.2017 habe ich mich also vors Rathaus gesetzt, mein Notebook sich mit dem Rathaus-WLAN verbinden lassen und mir dabei den Vertrag geholt und gesichert. Und diesen möchte ich Ihnen hier präsentieren, verbunden mit meinen Anmerkungen zu einzelnen Teilen dieses Vertrages. Später möchte ich auch auf das Datum eingehen, denn das kann wichtig sein.

Quelle

Alle Zitate in diesem Text stammen aus diesem Vertrag und werden hier nicht besonders gekennzeichnet, d.h. die Zitate präsentiere ich Ihnen ohne Quellenangabe. Am Ende dieses Textes präsentiere ich Ihnen den vollständigen Vertragstext.

Aufzählung

In diesem Text verwende ich das Wort Handy und meine damit ein Gerät aus folgender Gruppe: Smartphone, Tablet, Notebook, Laptop...... also irgendein Gerät, das Sie verwenden, um sich per WLAN ins Internet zu begeben. Ich will nicht immer diese Aufzählung herunterbeten.

Genug der Vorbemerkungen, ich fange mal an.


Regelung des Zugangs

In meinem Text WLAN am Rathaus hatte ich im Kapitel Verbindung zum WLAN bereits beschrieben, welche Schritte Sie ausführen müssen, damit Ihr Handy sich mit diesem WLAN verbindet. Im Rahmen dieses Vorgangs wird Ihnen der Vertrag präsentiert, den Sie 'abnicken' müssen (d.h. Sie setzen an der entsprechenden Stelle das Häkchen und zeigen damit an, daß Sie diesen Vertrag akzeptieren), denn es gilt:

Der Endnutzer ist zur Nutzung des Internetzugangs berechtigt, wenn er diese Nutzungsbedingungen akzeptiert.


Dies ist ein einmaliger Vorgang; wenn Sie später erneut an diesen Platz kommen, kann sich Ihr Handy automatisch mit diesem WLAN verbinden, ohne daß Sie diese Prozedur wiederholen müssen. Dazu später mehr.


Internetzugang


Es besteht kein Anspruch auf Nutzung des Internetzugangs.


Das WLAN am Rathaus ist ein öffentliches, von der Stadt Wiesbaden betriebenes WLAN, aber es ist ein unbekanntes WLAN, denn Sie finden nirgends einen Hinweis darauf. Und vermutlich steht deshalb dieser Satz im Vertrag.


Verfügbarkeit


Es besteht keine Garantie für die Verfügbarkeit von Hotspots an bestimmten Standorten und keine Verpflichtung, einmal eingerichtete Hotspots dauerhaft verfügbar zu halten. HOTSPLOTS weist ausdrücklich darauf hin, dass es im Ermessen des Standortpartners liegt, Hotspots bereitzustellen oder außer Betrieb zu nehmen.


Ein schönes Argument, das im Kern aussagt, daß dieses WLAN entweder funktioniert oder aber nicht funktioniert, und wenn es nicht funktioniert, dann ist dem halt so. In etlichen Diskussionen mit Vertretern der Stadtpolitik wurde eine solche Aussage zum Anlass genommen, bestimmte Anbieter aus der weiteren Diskussion auszuschliessen. Aber wenn die Stadt Wiesbaden so etwas macht, dann ist das kein Ausschlußargument, natürlich.

Und die Aussage ist unlogisch, denn diesen Satz können Sie nur lesen, wenn das WLAN funktioniert. Ohne funktionierendes WLAN erhalten Sie den Vertragstext nicht.


Es wird keine Verfügbarkeit bestimmter Inhalte an bestimmten Hotspots garantiert.


Aus Gründen des Jugendschutzes will man bestimmte Seiten sperren. Ich habe nicht überprüft, ob wirklich Seiten gesperrt werden, aber ich halte unsere jungen Leute für so clever, daß sie sich dann diese Inhalte an einem anderen Ort holen. Ach ja, und das nächste Argument ist natürlich der Terrorismus; wussten Sie, daß in der Wikipedia eine Anleitung zum Bau einer Bombe steht? Da muß man doch sofort diese Seite sperren.

Und wenn dann mal eine Seite gesperrt wurde, die weder jugendgefährdend noch terroristisch ist, dann war dies halt ein Versehen.


Bitte beachten Sie die Gesetze


Der Endnutzer darf die Hotspots nur bestimmungsgemäß und nach Maßgabe der in der Bundesrepublik Deutschland geltenden Gesetze und Verordnungen benutzen.


Gelten Gesetze der Bundesrepublik Deutschland nicht immer, überall und jederzeit? Warum muß ich das vor Nutzung dieses Hotspots noch einmal ausdrücklich bestätigen? Und warum muß ich, wenn ich mit meinem Auto auf eine Autobahn fahre, nicht vor Auffahrt auf die Autobahn noch einmal ausdrücklich bestätigen, daß ich auf dieser Autobahn die Strassenverkehrsordnung beachten will, und mein Auto in ordnungsgemäßen Zustand ist, und die Versicherung für das Auto auch bezahlt wurde? Warum nur bei WLAN, warum nicht bei Autos?


Der Endnutzer hat es zu unterlassen, bei der Nutzung eines Hotspots Straftaten zu begehen und / oder vorzubereiten, insbesondere Informationen zu verbreiten, die gem. §§ 130, 130a und 131 StGB der Volksverhetzung dienen ...


Hier greifen die gleichen Argumente, die ich gerade angegeben habe, ich will mich nicht wiederholen. Aber wissen Sie, was die angegebenen Paragraphen aussagen? Ich habe es nachgelesen, im Internet, aber da komme ich natürlich erst rein, nachdem ich diesem Vertrag zugestimmt habe, sofern ich das WLAN nutzen will. Also erst dem Vertrag mit diesen Paragraphen zustimmen, dann kann ich nachsehen, was diese Paragraphen eigentlich aussagen.


Datensammlung


Verkehrsdaten werden von HOTSPLOTS nach den gesetzlichen Vorgaben des TKG erhoben, verarbeitet und gespeichert. Dies umfasst die IP-Adresse und die MAC-Adresse des Endgerätes sowie Nutzungszeit und -dauer.


Verkehrsdaten sind die Adressen der Seiten, die Sie sich am Rathaus sitzend angesehen haben, zu welcher Uhrzeit Sie das getan haben, wie lange Sie auf dieser Seite waren usw. Ebenfalls gehören dazu die Daten zu Ihren Mails oder WhatsApp-Nachrichten, sofern Sie diese unter Verwendung des WLANs am Rathaus versandt oder empfangen haben. Und damit man diese Daten auch Ihrem Handy und somit Ihrer Person zuordnen kann, benötigt man die IP-Adresse und die MAC-Adresse. Sie können also eindeutig identifiziert werden.

Eine IP-Adresse ist eine Adresse im Internet, dies ist eine Zahl der Form 192.168.0.1 (dies ist nur ein Beispiel einer solchen IP-Adresse). Wenn Sie eine Seite im Internet anfordern, dann soll diese Seite ja auch auf Ihrem Handy erscheinen und nicht bei einem anderen Anwender; deshalb muß diese Adresse auch weltweit eindeutig sein. Für jeden Zugriff braucht man also 2 solcher Adressen: die Adresse der angeforderten Seite und die Adresse Ihres Handies (= Absender, an diese Adresse wird die angeforderte Seite zurückgeschickt).

Aus technischen Gründen kann die IP-Adresse Ihres Handies aber später einem anderen Gerät zugeteilt werden, d.h. die identische Adresse verweist auf verschiedene Geräte, abhängig von der Uhrzeit. Damit die eindeutige Zuordnung dann doch noch klappt nimmt man eine weitere Information aus Ihrem Handy dazu: die MAC-Adresse. Diese Adresse ist in Ihr Gerät fest eingebrannt und kann von Ihnen nicht geändert werden (ein Hacker kann das), und sie ist eindeutig auf dieser Welt.

Die IP-Adresse braucht man für die Anforderung und Auslieferung einer angeforderten Seite, aber erst mit der MAC-Adresse kann man Sie als Person eindeutig identifizieren. Und das schreibt dieses Gesetz TKG so vor.


Darüber hinaus behalten sich HOTSPLOTS und der Standortpartner vor, Daten anonymisiert zu statistischen Zwecken auszuwerten.


Erst werden die Daten in einer Form erfasst, die eine Zuordnung zu einem einzelnen Gerät (und damit einer Person) ermöglicht. Anschliessend werden diese Daten anonymisiert. Das nennt man Logik, denn eine Anonymisierung würde man nicht benötigen, wenn man die Daten ohne die Möglichkeit der eindeutigen Zuordnung erfasst hätte. Aber Sie gestatten der Fa. HOTSPLOTS und der Stadt Wiesbaden ja, Ihre Daten in eindeutiger Form zu erfassen. Und Sie gestatten der Stadt Wiesbaden und der Fa. Hotsplots ebenfalls, diese Daten auch auszuwerten. Facebook (und Google und Microsoft und ...) im Kleinformat.


HOTSPLOTS behält sich das Recht vor, diese Nutzungsbedingungen in Zukunft zu aktualisieren.


Mit Nutzung des WLANs haben Sie einen Vertrag mit der Fa. HOTSPLOTS (bzw. der Stadt Wiesbaden) abgeschlossen, und zwar an dem Tag, an dem Sie das WLAN genutzt haben. Einige Tage später ändert die Fa. Hotsplots, also einer der Vertragspartner, diesen Vertrag. Nun gibt es aber einen kurzen Weg, sich an dieses WLAN anzumelden. Sofern Ihr Handy sich schon einmal an dieses WLAN angemeldet hat, 'erinnert' es sich daran und verbindet sich automatisch damit (ohne Ihr Zutun). Und Ihnen wird dann kein Vertrag präsentiert, d.h. Sie sind dann sofort im Internet.


Mit jeder Nutzung des Internetzugangs erklärt sich der Nutzer mit der jeweils gültigen Fassung dieser Nutzungsbedingungen einverstanden.


Was aber ist, wenn der Vertrag geändert wurde, sich Ihr Handy danach wieder mit diesem WLAN verbindet und Sie die neuen Nutzungsbedingungen akzeptieren, ohne sie vorher präsentiert bekommen zu haben. Nehmen wir einmal an, Sie wollen ein neues Auto kaufen, gehen zum Händler und unterschreiben den Vertrag. Bestellt haben Sie ein Auto in weiß und beim Abholen des Autos stellen Sie fest, daß es grasgrün ist. Mit diesen letzten beiden Punkten hätte der Händler(=Ihr Vertragspartner) das Recht, diese Änderung des Vertrages vorzunehmen. Also ich fände so etwas nicht gut.

Beide Fälle habe ich erlebt: das Handy verbindet sich automatisch mit diesem WLAN. Bei Aufruf des Browsers erscheint die Startseite der Fa. Hotsplots mit der Aufforderung, den Vertrag abzunicken; es kam aber auch vor, daß diese Aufforderung nicht erschien sondern die von mir angewählte Seite sofort dargestellt wurde. Auch in diesem Fall haben Sie dem Vertrag zugestimmt, ohne ihn gesehen zu haben.


Fazit

Wen Sie das WLAN am Rathaus nutzen wollen, um ins Internet zu gehen, dann müssen Sie vorher einen Vertrag mit der Stadt Wiesbaden und der Fa. Hotsplots abschliessen. Ich will hoffen, daß es zu keinerlei juristischen Steitigkeiten wegen Ihrer Nutzung dieses WLANs kommt, aber welche Rechte haben Sie im Falle eines solchen Rechtsstreits? Können Sie belegen, welchem Vertrag Sie zugestimmt haben?

Daten über Ihre Nutzung des WLANs werden gespeichert, das steht so im Gesetz und gilt für alle Ihre Aktivitäten im Internet. Werden über das gesetzlich vorgeschriebene Maß hinaus Daten gespeichert? Und sind Sie mit der Auswertung dieser Daten durch die Fa. Hotsplots oder die Stadt Wiesbaden einverstanden?


Vertragstext

Dies ist der Vertragstext, den mir der WLAN-Hotspot am Rathaus am Samstag, 29.4.2017 gegen 12:30 Uhr präsentiert hat:

Nutzungsbedingungen


1 Gestattung des Internetzugangs


Die hotsplots GmbH (nachfolgend: HOTSPLOTS) ermöglicht Endnutzern den öffentlichen Internetzugang an WLAN-Hotspots des Standortpartners . Der Endnutzer ist zur Nutzung des Internetzugangs berechtigt, wenn er diese Nutzungsbedingungen akzeptiert. Es besteht kein Anspruch auf Nutzung des Internetzugangs.

2 Verfügbarkeit

Es besteht keine Garantie für die Verfügbarkeit von Hotspots an bestimmten Standorten und keine Verpflichtung, einmal eingerichtete Hotspots dauerhaft verfügbar zu halten. HOTSPLOTS weist ausdrücklich darauf hin, dass es im Ermessen des Standortpartners liegt, Hotspots bereitzustellen oder außer Betrieb zu nehmen. Es wird keine Verfügbarkeit bestimmter Inhalte an bestimmten Hotspots garantiert. HOTSPLOTS weist ausdrücklich darauf hin, dass Standortpartner die Möglichkeit haben, an einzelnen Hotspots Jugendschutzmaßnahmen zu ergreifen und den Zugriff auf Inhalte zu filtern. Für die Nutzung des WLAN ist ein zu IEEE 802.11g kompatibles Endgerät erforderlich. Es werden weder Mindestbandbreite noch Störungsfreiheit garantiert.

3 Verantwortung, Gefahren

HOTSPLOTS und / oder der Standortpartner sind nicht für Inhalte verantwortlich, die von dem Endnutzer oder Dritten über den Hotspot abgerufen, in das Internet eingestellt oder in irgendeiner Weise verbreitet werden. Die übertragenen Inhalte unterliegen keiner Überprüfung durch HOTSPLOTS und / oder den Standortpartner. Die Nutzung des Internetzugangs erfolgt auf eigene Gefahr und auf Risiko des Endnutzers. Die Datenübertragung erfolgt ohne Verschlüsselung. Bei Bedarf muss der Endnutzer eigene Maßnahmen zur Sicherung seines Datenverkehrs ergreifen. Die Funkübertragung kann z. B. mit HOTSPLOTS VPN verschlüsselt werden.

4 Pflichten der Endnutzer

Der Endnutzer darf die Hotspots nur bestimmungsgemäß und nach Maßgabe der in der Bundesrepublik Deutschland geltenden Gesetze und Verordnungen benutzen. Der Endnutzer ist verpflichtet, die von HOTSPLOTS und / oder dem Standortpartner angebotenen Telekommunikationsdienstleistungen nicht zu Zwecken zu missbrauchen, die den gesetzlichen Bestimmungen oder diesen Endnutzerbedingungen widersprechen, insbesondere ist der unaufgeforderte Versand von Nachrichten oder Informationen an Dritte zu Werbezwecken (Spamming) zu unterlassen. Der Endnutzer hat es zu unterlassen, bei der Nutzung eines Hotspots Straftaten zu begehen und / oder vorzubereiten, insbesondere Informationen zu verbreiten, die gem. §§ 130, 130a und 131 StGB der Volksverhetzung dienen, und / oder die im Sinne des § 184 StGB pornografisch sind, und / oder die geeignet sind, Kinder oder Jugendliche sittlich schwer zu gefährden und / oder in ihrem Wohl zu beeinträchtigen. Darüber hinaus hat er es zu unterlassen, zu Straftaten anzuleiten oder Gewalt zu verherrlichen oder zu verharmlosen. Der Endnutzer hat alle erforderlichen und üblichen Sicherungsmaßnahmen gegen die ungewollte und missbräuchliche Nutzung der Hotspots über die von ihm eingesetzten IT-Systeme durch unbefugte Dritte zu treffen. Soweit der Endnutzer eine ungewollte oder missbräuchliche Nutzung eines Hotspots über ein von ihm eingesetztes IT-System feststellt, hat er HOTSPLOTS und / oder den Standortpartner unverzüglich zu unterrichten.

5 Datenschutz und Datensicherheit

Die einschlägigen datenschutzrechtlichen Vorschriften des TKG, TMG und BDSG werden eingehalten. Verkehrsdaten werden von HOTSPLOTS nach den gesetzlichen Vorgaben des TKG erhoben, verarbeitet und gespeichert. Dies umfasst die IP-Adresse und die MAC-Adresse des Endgerätes sowie Nutzungszeit und -dauer. Darüber hinaus behalten sich HOTSPLOTS und der Standortpartner vor, Daten anonymisiert zu statistischen Zwecken auszuwerten. Die Fristen des TKG zum Löschen von Daten werden von HOTSPLOTS eingehalten.
Der Datenschutzbeauftragte von HOTSPLOTS ist per E-Mail unter datenschutz@hotsplots.de erreichbar; oder postalisch unter:
hotsplots GmbH
Datenschutzbeauftragter
Rotherstr. 22
10245 Berlin

6 Sonstiges

HOTSPLOTS behält sich das Recht vor, diese Nutzungsbedingungen in Zukunft zu aktualisieren. Mit jeder Nutzung des Internetzugangs erklärt sich der Nutzer mit der jeweils gültigen Fassung dieser Nutzungsbedingungen einverstanden.
Berlin, 20.11.2014





Anmerkungen:
1) in der aktuelen Gestaltung dieser Seite sehen Sie die rechte Spalte mit der Möglichkeit, mir eine Mail zu schreiben, nur in der WWW-Version dieses Blogs, d.h. sofern Sie diese Seite auf Ihrem handy abrufen, dann sehen Sie diese Möglichkeit nicht. An diesem Punkt muß ich noch arbeiten.

Samstag, 25. März 2017

Was kostet 1 Pfd. WLAN ?


Am 4. März gab es im Wiesbadener Kurier einen Artikel zur Situation des öffentlichen und freien WLANs in Wiesbaden: WLAN weiter nur als Inselchen. In diesem Artikel wurden auch Zahlen zu den Kosten eines öffentlichen WLANs genannt. Und diesen Sachverhalt möchte ich gerne darstellen und mit anderen WLAN-Installationen vergleichen.


Kalkulation der Stadt

Natürlich kostet ein solches WLAN-Angebot Geld. Mit diesen Zahlen rechnet die Stadt Wiesbaden:
Die Durchschnittskosten, um einen Platz mit Internet zu versorgen, liegen laut Magistratsvorlage bei 15.000 bis 20.000 Euro allein für die Installation. Hinzu kämen jährlich rund 20 Prozent für die Unterhaltung.

Quelle: Wiesbadener Kurier: Wiesbaden: WLAN weiter nur als Inselchen

Bei diesen Beträgen schlucke ich erst einmal. Ich habe dann auf PIWI nachgesehen und dieses Dokument gefunden:
Kostenfreies WLAN an öffentlichen Plätzen in Wiesbaden
Beschluss Nr. 0008

Die Stadtverordnetenversammlung wolle beschließen:
Es wird zur Kenntnis genommen, dass

1.5  die Ausstattung eines öffentlichen Platzes mit freien WLAN im Durchschnitt mit Einmalkosten von ca. € 15.000 bei jährlichen Betriebskosten von ca. € 3.000 kalkuliert werden muss zuzüglich des Aufwandes zur Koordination der Maßnahmen, die Kosten jedoch je nach örtlichen Gegebenheiten erheblich von den Durchschnittskosten abweichen können,

Quelle: Auszug aus Beschluß zu Tagesordnung Punkt 6 der öffentlichen Sitzung am 7. Februar 2017 des Ausschusses für Bürgerbeteiligung und Netzpolitik
Das ist ein offizielles Dokument, das sind die Kosten, mit denen die Stadt Wiesbaden kalkuliert.


Vergleich mit anderen WLAN-Installationen

Ich will versuchen, an einigen Beispielen die Kosten eines Internetanschlusses bzw. eines WLANs zu verdeutlichen. Dafür habe ich mir 3 Beispiele herausgesucht,

Privater Internetanschluß

Ich will mit meinem eigenen Internetanschluß anfangen. Ich bezahle dafür 38€ im Monat und erhalte einen Anschluß mit einer Leistung von 100 Millionen Bits/Sekunde down (also vom Server zu meinem PC) und 5 Millionen Bits/Sekunde up (also von meinem PC zum Server). Die Installation des Anschlußes wurde von einem Techniker vorgenommen, der dazu über eine Stunde in meinem Keller geschraubt und gedübelt hat; für diese Tätigkeit habe ich nichts bezahlt. Auf der Basis des vorhandenen Internetanschlußes kann ich nun an meinem Router das WLAN einschalten.

Bitte vergleichen Sie diese Zahlen mit den Kosten Ihres Anschlusses, die dürften sich im gleichen Rahmen bewegen..

WLAN am Weinstand in Erbenheim

In Erbenheim gibt es in der Zeit von Mitte April bis Mitte Oktober an praktisch jedem Freitag einen Weinstand, der von den Vereinen betrieben wird, wobei jeder Verein zwei Termine hat. Im Jahr 2016 betrieb die SPD diesen Weinstand am 20. Mai und am 29. Juli; an beiden Tagen gab es neben Wein und essbaren Kleinigkeiten auch ein freies WLAN1). Der Weinstand-Abend war ein Erfolg, was am Wein, am Wetter und an der Stimmung lag. Das WLAN wurde auch genutzt, es waren 13 (20. Mai) bzw. 19 (29. Juli) Teilnehmer am WLAN angemeldet, bei etwa 120 am Weinstand anwesenden Personen.

Aber dieser Text behandelt die Kosten eines solchen öffentlichen und freien WLANs. Also schauen wir uns mal die Geräte an, die verwendet wurden. All dies habe ich schon einmal ausführlich hier im Blog dargestellt1), so daß ich mich kurz fassen kann. Verwendet wurde ein handelsüblicher Router: TP-Link WR1043ND. Die Anbindung an das Internet wurde realisiert über ein SIM-Karte der Telekom. An Kosten für dieses freie WLAN würden somit anfallen:
  • einmalig: für die Anschaffung des Routers ein Betrag von ca. 50€
  • regelmässig: für die SIM-Karte wären pro Abend ein Betrag von jeweils ca. 15€ fällig
Im Rahmen der Vorbereitung des Weinstand-Abends wurde auch der Router aufgestellt und eingeschaltet (=Installation); am Ende des Abends wurde im Rahmen der Aufräumarbeiten der Router ausgeschaltet und eingepackt. Das waren die Kosten für diese Aktion Wein-LAN am Weinstand in Erbenheim, und die eingesetzte Technik war ausreichend für einen Platz von über 200qm, auf dem man an jeder Ecken ausgezeichneten WLAN-Empfang hatte.

Filmnächte in den Reisingeranlagen

In den Sommerferien 2016 fanden auf den Reisingeranlagen am Hauptbahnhof in den Abendstunden Filmvorführungen statt: 19. Open Air Filmfest · Wiesbaden Reisinger Anlagen · 14.07.2016 – 06.08.2016. Hier betrieb Freifunk das WLAN, und da an manchen Abenden bis zu 200 Teilnehmer in diesem Netz angemeldet waren, wurden hier andere Geräte benötigt, es wird also etwas teurer als am Weinstand:
  • für das WLAN wurden diese Geräte eingesetzt: TP-Link CPE210.
    Diese Geräte kosten ca. 50€ pro Stück, 3 dieser Geräte wurden eingesetzt.
  • die Daten, die von diesen Geräten geliefert werden, müssen gebündelt werden. Diese Aufgabe übernimmt ein kleiner Switch, für den ca. 50€ Kosten entstehen
  • diese Daten müssen an einen Internetanschluß weitergeleitet werden. Dazu dienen diese Geräte: NanoBeam ac.
    Diese Geräte kosten ca. 100€ pro Stück, man benötigt 2 davon.
Natürlich benötigt man noch ein bissel Kleinkram wie Halterungen, Kabelbinder etc. Für diesen Kleinkram setze ich hier pauschal 100€ an.

Das waren die einmal zu tätigenden Anschaffungen, sie summieren sich zu einem Betrag von ca. 500€.

Nun müssen die Daten noch ins Internet gelangen, dafür braucht man einen entsprechenden Anschluß. Typischer weise fällt für diesen Anschluß ein Betrag von monatlich 40€ an.

Auch in 2017 will Freifunk wieder die Filmnächte mit WLAN versorgen. Allerdings soll die kommende Aktion mit einer veränderten Technik laufen, man lernt halt dazu, denn es soll eine bessere Lösung werden. Dadurch entstehen zusätzliche Kosten in Höhe von vermutlich 300€.


Fazit

Würden Sie sich einen Internetanschluß zulegen, wenn Sie für den Anschluß 15.000€ zahlen müssten? Wären Sie bereit, für Ihren Internetanschluß 3.000€ im Jahr zu bezahlen? Vermutlich nicht, aber das sind die Kosten, mit denen die Stadt Wiesbaden rechnet.

Sowohl für Anschlüße bei Privatpersonen als auch ein Internetanschluß für kleinere Personengruppen (siehe Beispiel Weinstand) lassen sich wesentlich preiswerter realisieren, man benötigt dafür keine 10.000€. Auch für grössere Personengruppen (siehe Beispiel Filmnächte) benötigt man keinen Betrag von 10.000€ (im angegebenen Artikel des Wiesbadener Kuriers wurde sogar ein Betrag von 20.000€ genannt).

WLAN verwendet man, da die benötigten Geräte einfach zu installieren sind. Die notwendigen Einstellungen an den Geräten sind (mittlerweile) auch kinderleicht. Und die benötigten Geräte sind preiswert bis billig. Eine Lösung unter Verwendung von WLAN ist somit schnell gemacht, einfach zu bedienen, preiswert und trotzdem leistungsfähig.

Natürlich gibt es Unterschiede in den Preisen und der Leistungsfähigkeit der Geräte. Mit einer Installation wie in einem Privathaushalt kann man nicht das Rathaus in Wiesbaden mit WLAN bedienen. Allerdings wurde bei der Aktion am Weinstand in Erbenheim auch nur ein Gerät verwendet, das für Privatanwender gedacht ist, bei einem Platz mitlerer Größe (etwa 200qm). Zugegeben, das war nur eine provisorische Lösung am Weinstand, eine feste Installation würde andere Kosten verursachen, aber diese Kosten sind weit entfernt von einem Betrag von 10.000€. Und das Beispiel Reisingeranlagen zeigt, daß man auch grössere Gruppen mit WLAN versorgen kann, und das zu durchaus überschaubaren Kosten. Die im vergangenen Sommer auf der Reisingeranlage realisierte WLAN-Installation war wesentlich preiswerter als die entsprechende Lösung am Rathaus in Wiesbaden. Und, ganz nebenbei angemerkt, die Lösung auf der Reisingeranlage war mehr als doppelt so leistungsfähig wie die entsprechende Lösung am Rathaus.

Auf jeden Fall ist in Wiesbaden ein Pfund WLAN ganz schön teuer, sofern es von der Stadt kommt.






Anmerkungen:
1) hier finden Sie die ausführliche Darstellung der Aktion WLAN am Weinstand:

Dienstag, 28. Februar 2017

Skifoarn


Das Thema öffentliches WLAN bleibt ein Trauerspiel in Wiesbaden. Und um diese Aussage zu untermauern, möchte ich das WLAN-Angebot eines anderen Ortes darstellen. Die beiden Welten vergleichen Sie bitte selbst.

In diesem Ort war ich: Fieberbrunn in Tirol, natürlich zum Skifahren. Zum Skigebiet gehören die Orte Saalbach, Hinterglemm, Leogang und Fieberbrunn.


Aber das Thema dieses Blogs ist IT, und so habe ich mir am Ort das WLAN angesehen. Und darüber möchte ich hier berichten.


Hotel

Im Internet wirbt das Hotel mit folgenden Angaben:

Klicken Sie einfach auf ein Bild drauf. Sie erhalten dann das Bild in einem besser lesbaren Format.

Das klingt doch schon mal gut. Nach meiner Ankunft im Hotel fand ich diesen Hinweis an der Rezeption:
Bitte entschuldigen Sie die schlechte Qualität des Bildes, ich bin halt kein Fotograf.

Der Hinweis sagt: kein Code, keine Zugangsbeschränkung, einfach nur am WLAN anmelden. Gut so. Und irgendwann gegen Abend wollte ich dann mal die Nachrichten lesen, deshalb setzte ich mich in die Lounge des Hotels und bestelle einen Cappuccino. So präsentierte sich das WLAN auf meinem Tablet:

Das erste Netz habe ich ausgewählt, da es den Namen des Hotels hatte. Und schon war ich drin, aber es gab gleich eine Überraschung: das Netz war lahm. Kurz an der Rezeption gefragt und man hat mir bestätigt, daß dieses Netz überlastet sei. Aber man gab mir sofort das Passwort für das zweite Netz in dieser Liste. Somit habe ich mich am zweiten Netz angemeldet, das Passwort eingegeben und dieses Netz war überraschend gut:

Bitte vergleichen Sie diese Werte nicht mit den entsprechenden Werten für das städtische WLAN, das wäre unfair.

Neben einem WLAN in der Lounge gab es noch eine Steckdose für ein LAN-Kabel im Zimmer. Und es gab noch dieses Angebot:

Das Hotel ist bestens ausgestattet.


Auf dem Berg

Sinn des Skiurlaubs ist natürlich das Skifahren, nicht der Aufenthalt im Hotel. Aber auch auf dem Berg gab es WLAN. An zwei Beispielen möchte ich dies darstellen.

Bergkogelbahn

In der Talstation der Bergkogelbahn fand ich dieses Hinweisschild:

Also probiere ich das doch mal aus:

Das oberste Netz habe ich ausgewählt und schon war mein Smartphone mit dem Internet verbunden. Bei Aufruf des Browsers erschien dann diese Startseite:

Nach Auswahl der Kachel links unten im Bild konnte man auch andere Seiten aus dem Internet aufrufen. Neben dem schnellen Zugriff auf Facebook, wer es braucht, gab es noch 4 Kacheln, dir Informationen zum Skigebiet boten.

Lärchfilzkogelbahn

In der Bergstation der Lärchfilzkogelbahn habe ich es erneut probiert. Und wieder kam ich problemlos ins dort angeboten WLAN. So präsentierte sich dieses:
WLAN auf der Bergstation der Lärchfilzkogelbahn
die Einstiegsseite lokale Information:
Wetter
lokale Information:
geöffnete Lifte


Bewertung des Angebots

So soll es sein.


Weitere Entwicklung

Die Region gibt sich große Mühe, den Touristen ein Internet-Angebot zur Verfügung zu stellen:
Unter dem Motto „digital überall“ wurden im gesamten Skigebiet über 40 WLAN-Stationen eingerichtet.

Quelle: WLAN AM BERG

Auf diesem Stand ruht sich der Tourismusverband nicht aus, das Angebot wird ausgebaut:
Kostenloses WLAN in jeder Gondel und als Weltneuheit sechs "Jukeboxx-Gondeln" unterstreichen die Innovationsfreude der Verantwortlichen. Um Musik zu hören, genügt es, über das WLAN online zu gehen. Die Installation einer App ist nicht notwendig; Speicherplatz am Handy des Fahrgastes wird also nicht benötigt.

Quelle: Eröffnung des zellamseeXpress

Auch in der überregionalen Presse wurde dieses Angebot bereits gewürdigt:
Bereits jetzt lockt die neue Bahn während der Auffahrt mit Extras wie flüsterleisem Antrieb, kostenfreiem WLAN und Gratis-Musikstreaming.

Quelle: SPIEGEL ONLINE: Was gibt es Neues in den Skigebieten?



Fazit

Bereits vor einem Jahr hatte ich einen Bericht über die WLAN-Angebote in einer Touristenregion geschrieben: WLAN im Urlaub. Mit diesem Bericht möchte ich die damalige Darstellung bestätigen.

In Wiesbaden bewegt sich in dieser Frage nichts. Es gibt zwar WLAN-Angebote der Stadt, aber für Besucher sind diese nicht erkennbar. Das WLAN-Angebot der Stadt am Rathaus kann von einem Besucher nicht genutzt werden, da man ein WLAN nicht sehen, schmecken, fühlen oder riechen kann, und einen Hinweis auf dieses WLAN sucht man am Rathaus vergebens. Natürlich kann man einen Besucher in die Hochstättenstraße schicken, in der Mauritius-Mediathek gibt es ein städtisches Angebot, aber will die Stadt Wiesbaden mit dieser Straße werben?

An anderen Orten bewegt sich etwas:
Bewohner und Besucher von Mainz können ab sofort an öffentlichen Plätzen kostenlos mobiles Internet nutzen. Die Stadt hat insgesamt 40 Internet-Router aufgebaut. „Internet“, so hatte der Mainzer Oberbürgermeister Michael Ebling das begründet, „gehört heute zu den existenziellen Gütern.“

Quelle: Wiesbadener Kurier: Wiesbaden: WLAN weiter nur als Inselchen

Zu diesem Artikel im Wiesbadener Kurier gab es auch einen Kommentar des Redakteurs, der leider Online nicht verfügbar ist. Trotzdem möchte ich daraus zitieren:
Internet gehöre, sagt der Mainzer OB sehr richtig, heute zu den existenziellen Gütern wie Strom, Wasser, Gas. Das muss sich in der WLAN-Wüste Wiesbaden offensichtlich noch herumsprechen.

Quelle: Kommentar von Manfred Knispel zum Artikel: Wiesbaden: WLAN weiter nur als Inselchen

Jede Skiregion hat heute solche Angebote, und die entsprechenden Orte sind wesentlich kleiner und finanzschwächer als Wiesbaden. Aber Wiesbaden ist auch kein Skigebiet. Hätte Wiesbaden eine Skipiste, dann hätte Wiesbaden auch ein WLAN-Angebot.


Donnerstag, 19. Januar 2017

TLS (3)


Dies ist der dritte Text in meiner Serie von Texten zum Thema Sicherheit eines Servers, der von der Stadt Wiesbaden betrieben wird. Es handelt sich um den PIWi-Server, den Stand der Absicherung dieses Servers habe ich hier dargestellt: TLS. Im darauf folgenden Text habe ich einige mögliche Formen des Missbrauchs eines kompromittierten Servers beschrieben: TLS (2).

Auch in diesem Text werde ich weiterhin nicht zeigen, wie man sich in diesen Server reinhacken kann, sondern eine weitere Möglichkeit des Missbrauchs eines solchen gehackten Servers aufzeigen. Und ich möchte mit einem historischen Beispiel beginnen.


0.75 US-$

Üblicherweise hört man, daß es die Russen waren. Nein, das stimmte nicht, das waren Hacker aus Deutschland, von denen allerdings einer Kontakte zum russischen KGB hatte. So hörte sich das dann im Jahre 1989 in der Tagesschau an:


Hier kann man die damalige Geschichte nachlesen:

Wikipedia hat auch einen Artikel über diesen Vorfall: KGB-Hack. Die Geschichte in Hannover wurde auch verfilmt, hier finden Sie den Trailer zu diesem Film: 23 - NICHTS IST SO WIE ES SCHEINT Trailer, zum Film gibt es auch einen Text in der Wikipedia: 23 – Nichts ist so wie es scheint.

Aufgefallen sind diese Hacker, weil in einem Buchhaltungssystem in Berkeley (Kalifornien/USA) ein Fehlbetrag von 0.75 US-$ (damals etwa 2,25 DM) auftrat. Diesen Fehlbetrag sollte ein Administrator abzeichnen, bei der Höhe des Betrags sollte dies kein Problem sein. Aber dieser Administrator, ein gewisser Clifford Stoll, weigerte sich und stellte eigene Nachforschungen an. Monate später und mit der Hilfe mehrerer Kollegen, diverser Fremdfirmen, dem FBI, der Polizei in Deutschland und der Deutschen Bundespost landete man bei einer Gruppe von 3 Hackern in Hannover; der Rest ist Geschichte.

Diese Geschichte, beginnend mit dem Fehlbetrag und endend in Hannover, wurde verfilmt. Diesen Film finden Sie hier:




Computer-Hack

Die Hacker haben sich von Hannover aus in einen Computer der Uni eingewählt, das war legal. Und da kein Computer eine Insel ist, haben sie auf diesem Computer nach Verbindungen zu anderen Computern gesucht. Solche Verbindungen haben sie gefunden und unter Ausnutzung eines Fehler in einer installierten Software haben sie sich in diesen entfernten Computer eingewählt. Und dort begann das Spiel erneut, immer auf der Suche nach interessanten Daten und Datenbanken. Irgednwann landeten sie dann auf einem Rechner in der Ostküste der USA und von dort aus, über Zwischenschritte auf dem Computer der Universität von Kalifornien in Berkeley. Da dieser Computer seine Rechenleistung an andere Instituionen vermietete, hatte er Software, die die Rechenzeit mitschrieb und einem Konto in der Buchhaltung zuordnete. Und für einen Betrag von 0.75 US-$ fehlte diese Zuordnung.

Aber das alles ist Geschichte, zurück zum PIWi-Computer hier in Wiesbaden.


Kein Computer ist eine Insel

Ende der 80er Jahre gab es bereits Vernetzung der Computer, wie das obige Beispiel zeigt. Heutzutage gibt es kaum einen Computer, der nicht über Internet oder ein internes Netz mit anderen Computern verbunden ist. Das macht die Sache interessant für Hacker; in einen Computer eindringen und sich von dort weiterhangeln zu anderen Computern, immer auf der Suche nach interessanten Daten. Wie sieht das bei PIWi aus?

Der Computer, auf dem die Software PIWi läuft, hat innerhalb des Internets die Adresse 141.90.9.69 (= IP-Adresse). Diese Adresse gehört zur Hessische Zentrale für Datenverarbeitung - HZD1):

Die HZD ist der zentrale IT-Dienstleister für die Hessische Landesverwaltung und führt somit viele Dienstleistungen im IT-Bereich für die hessische Landesregierung, aber auch für mehrere Kommunen (z.B. die Stadt Wiesbaden), aus. Und deshalb könnte es für einen Hacker interessant sein, in die dortigen Computer einzudringen und Daten abzugreifen. Der PIWi-Server könnte als Einstieg dienen und von dort aus kommt man möglicherweise weiter in andere Computer, über die Aufgaben für Kommunen oder die hessische Landesregierung ausgeführt werden.


BSI

Das Bundesamt für Sicherheit in der Informationstechnik - BSI1) ist eine Behörde der Bundesregierung, der die Zuständigkeit für die Sicherheit der IT-Systeme übertragen wurde. Ihre Aufgabe beschreibt das Amt so:
Wer sind unsere Kunden?

Mit unserem Angebot wenden wir uns an die Nutzer und Hersteller von Informationstechnik. Das sind heute in erster Linie öffentliche Verwaltungen in Bund, Ländern und Kommunen, aber auch Unternehmen und Privatanwender.

Quelle: Unser Leitbild

Im Rahmen seiner Tätigkeit hat das BSI die Sicherheit diverser Web-Server untersucht und die Ergebnisse am 9. Januar 2017 in einer Pressemitteilung veröffentlicht. Darin heißt es u.a.:
"Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten", erklärt BSI-Präsident Arne Schönbohm. "Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern."

Nach § 13 Absatz 7 TMG sind Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.

Quelle: Online-Skimming: 1.000 deutsche Online-Shops betroffen

Diese Aussage gilt auch für den PIWi-Server der Stadt Wiesbaden.


Gesetz

In Deutschland werden sehr viele Dinge per Gesetz geregelt. Zum Thema Server möchte ich auf folgende Auszug aus dem entsprechenden Gesetz verweisen:
(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und

2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind.

Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Quelle: Telemediengesetz: § 13 Pflichten des Diensteanbieters

Die Stadt Wiesbaden ist somit per Gesetz verpflichtet, ihre Server auf einem aktuellen Stand der Software zu halten.


Edward Snowden

Edward Snowden war der Mitarbeiter der NSA, der 2013 die Überwachung des Internets durch diesen amerikanischen Geheimdienst und insbesondere den Umfang dieser Überwachung aufzeigte, belegt durch interne Dokumente der NSA. Im Zuge der Aufarbeitung dieser Dokumente kam u.a. heraus, daß sich ein britischer Geheimdienst in die Computer eines belgischen Telekommunikationsunternehmens eingehackt hatte, der zufälligerweise auch die Fernsprech- und Internetanbindung der EU in Brüssel realisierte: Britischer Geheimdienst hackte belgische Telekom.

Sie sehen, das ging nicht nur Ende der 80er Jahre, das geht auch heute. Und die Gefahr ist real, wie wir dank Edward Snowden wissen.


Fazit

Für Unbefugte gibt es viele Möglichkeiten, in einen Computer einzudringen. Einen Ansatzpunk, einen Schwachpunkt muß man finden, und von dort aus geht es weiter. Irgendwann landet man in einem Computer, wo man wichtige Informationen abgreifen kann. Deshalb müssen Computer, sofern sie öffentlich zugänglich sind, vernünftig abgesichert werden. Und das heißt u.a., daß man die Software auf einem aktuellen Stand hält und somit bekannte Schwachstellen in dieser Software entfernt werden. Das ist beim PIWi-Server nicht geschehen.

Vermutlich muß ein Hacker erst einen nennenswerten Geldbetrag von der Kasse der Stadt Wiesbaden abbuchen, bis dieses Einfallstor geschlossen wird.




Anmerkungen:
1) Natürlich ist diese Seite gesichert mit TLS in der Version 1.2.

Sonntag, 8. Januar 2017

TLS (2)


In meinem letzten Text hatte ich beschrieben, daß ein Server, betrieben im Auftrag der Stadt Wiesbaden, nur in bescheidenen Umfang gesichert ist. Und in diesem Text möchte ich darstellen, wofür man einen solchen Server mißbrauchen kann, nachdem man ihn gehackt hat.

Vorweg möchte ich aber klarstellen, daß ich kein Hacker bin (Danke für das Kompliment, aber dafür ich bin doch schon zu alt). Und diese Tätigkeit reizt mich nicht. Ausserdem, das wissen Sie doch, sind es immer die Russen, die fremde Computer hacken. Und ich besitze die deutsche Staatsbürgerschaft.

Es gibt diverse Möglichkeiten, als Aussenstehender einen Computer zu mißbrauchen, nachdem man in diesen eingedrungen ist. Ich möchte einmal zwei Möglichkeiten des Mißbrauchs herausgreifen und in diesem Text darstellen. Ich bescchreibe nicht, wie man in einen Computer eindringen kann1).


Plötzlicher Datenreichtum

Datensparsamkeit ist ein Grundprinzip unseres Umgangs mit Computersystemen und hat auch Eingang gefunden in unsere Gesetze. Auch Wikipedia hat einen Artikel dazu: Datenvermeidung und Datensparsamkeit.

Datensparsamkeit bedeutet, daß ein Unternehmen Daten über Sie speichern darf, aber nur die notwendige Mindestmenge. Bei einer Bestellung in einem Onlineshop darf das Unternehmen alle zur Abwicklung der Bestellung notwendigen Informationen auf seinen Computern speichern, also. z.B. welche Artikel sie bestellt haben, wohin die Bestellung geliefert werden soll, von welchem Konto der Betrag abgebucht werden darf usw. Und natürlich darf das Unternehmen auch speichern, wann die Bestellung versandt wurde, wann der Betrag abgebucht wurde, ob Sie reklamiert haben usw. Es darf aber keine Informationen speichern, die über diese Informationen hinausgehen, also darf z.B. nicht gespeichert werden, welche Haarfarbe Sie haben (es sei denn, Sie haben einen entsprechenden Artikel bestellt). Auch Ihre politische Meinung darf nicht abgefragt und nicht gespeichert werden, auch nicht ihre Religionszugehörigkeit usw.

Was aber ist, wenn ein Hacker, also ein Fremder, Nicht-Befugter, sich Zugang zu solch einem Computer verschafft? Er könnte dann die auf diesem Computer gespeicherten Daten abgreifen und auf einen Computer seiner Wahl transferieren, anschliessend auszuwerten und für weitere Aktionen zu verwenden. Möglicherweise erhält er Zugang zu Ihren Bankdaten und kann sie für eigene Zwecke ausnutzen. Oder er findet eine Liste der Anmeldenamen mit zugehörigen Passwörtern für diesen Computer. Und da Sie sicherlich keine 1.000 verschiedene Passwörter haben, könnte man damit versuchen, sich bei Onlineshops anzumelden - vielleicht klappt das ja mit einem Namen+Passwort aus der Liste. Und dann schnell noch die Lieferadresse ändern und sofort bestellen.......

Haben Sie schon einmal eine SPAM-Mail in Ihrem Postfach vorgefunden? Woher kennen die Absender Ihre Mail-Adresse und Ihrem Namen? Und mittlerweile sind diese SPAM-Mails soweit personalisiert, daß sie verdammt echt aussehen.

Auf dem PiWi-Server liegen vermutlich Daten, die nicht für jedermanns Augen bestimmt sind, denn der Server verlangt eine Anmeldung. Sofern Sie dort keinen Zugang haben oder sich nicht angemeldet haben, können Sie nur auf wenige Informationen zugreifen, u.a. auf die Daten zu den Ausschüssen des Parlaments, die Tagesordnungen, die Anträge usw. Daneben gibt es vermutlich noch weitere Informationen, auf die Sie ohne Anmeldung keinen Zugriff haben. Und mit einem Einbruch verschafft sich ein Hacker Zugriff auf diese Daten, unbefugterweise.

Einbrüche in ein Computer-System kommen häufiger vor. Hier einmal ein paar Beispiele:

Diese Beispiele genügen Ihnen nicht? Bitte, ich kann auch mit dieser Geschichte aufwarten: Unbekannte sind in die Computer des ThyssenKrupp-Konzerns eingedrungen. Der Angriff wurde eher zufällig entdeckt, die Abwehr dauerte Monate..

Zusammenfassung: mit einem solchen Einbruch in ein Computersystem verschafft sich ein Unbekannter einen Zugriff auf Anmeldenamen und möglicherweise die zugehörigen Passwörte, sowie auch auf weitere, auf diesem Computer vorhandenen Dateien und Datenbanken. Dies nenne ich einen plötzlichen Datenreichtum.

Bisher war Datensparsamkeit eine Tugend, aber die Dinge ändern sich:
"Der bisher gültige Grundsatz, dass Datensparsamkeit das Übermaß der Dinge ist, der hat sich überholt, der muss weg"

"Datenreichtum muss der Maßstab sein, nach dem wir unsere Politik ausrichten."

Quelle: Alexander Dobrindt: Grundsatz der Datensparsamkeit "muss weg"

Und damit steht Herr Dobrindt nicht allein:
In deutlichen Worten verabschiedet sich Merkel von den Prinzipien der Datensparsamkeit und der Zweckbindung, die seit dem Urteil des Bundesverfassungsgerichts aus dem Jahr 1983 und dem damit etablierten Grundrecht auf informationelle Selbstbestimmung eine wichtige Grundlage aller rechtlichen Regeln im Umgang mit Daten über Menschen geworden sind.

Quelle: CDU-Parteitag: Merkel preist Datenreichtum und Überwachung
Je mehr Daten gespeichert werden, desto mehr Daten kann man nach einem Einbruch abgreifen. Aber jetzt schweife ich ab, zurück zu meinem Thema.


DDOS

"Sie erinnern sich doch sicherlich noch an die Angriffe auf Telekom-Router Ende November 2016." so begann mein letzter Text. Damals wurden Router der Telekom attackiert, diese Router sind kleine und relativ leistungsschwache Computer, die bei Ihnen zu Hause stehen und den eigentlichen Zugang zum Internet realisieren. Vermutlich war das Ziel der damaligen Attacke, auf diesen kleinen Computern unbemerkt eine Software zu platzieren, die man von außen ansteuern und ihr eine Aufgabe zuteilen kann. Diese Aufgabe kann sein, unsinnige Anfragen an einen bestimmten Server zu senden. Und wenn solche unsinnigen Anfragen von sehr vielen Computern kommen, dann geht der angefragte Server in die Knie auf Grund der Menge der Anfragen, und möglicherweise gibt er ganz auf.

Der Fachbegriff für solche Angriffe lautet DDOS, ein distributed denial of service. ditributed, denn es sind viele Computer, die einen Ziel-Computer attackieren; denial of service, das Ziel der Attacke ist eine absichtlich herbeigeführte Serverüberlastungen. Einige Beispiele dazu:

Aktuell ist es ja kalt in Deutschland; in der Nacht vom 5. auf den 6. Januar zeigte das Themometer bei mir eine Aussentemperatur von -8° Celsius an. Wie wäre es, wenn die Heizung im Haus aufgrund einer Computerattacke auf die entsprechende Steuerung ausfällt? Sie halten solch eine Aktion für unwahrscheinlich? Alles schon passiert: DDos-Attacke: Hacker schalten Heizungen in Finnland ab.

Genug der Beispiele.

Zusammenfassung: ein Computer kann von Fremden für ihre eigenen Zwecke mißbraucht werden, z.B. um unsinnige Datenpakete auf einen Ziel-Server zu schicken, damit dieser Server keine vernünftige Arbeit mehr leisten kann.


Fazit

Server, oder allgemeiner: Computersysteme, muß man auf einem aktuellen Stand halten. Dies bedeutet, daß bekannt gewordene Lücken gestopft werden, damit die bösen Buben (oder die bösen Mädels) diese Lücken nicht mehr ausnutzen können.

Konkret heisst dies, daß die zur Verfügung gestellten Patches (=Flicken) eingespielt werden. Allgemein muß die Software auf einem aktuellen Stand gehalten werden, denn alte Versionen enthalten Fehler, die durch neuere Versionen dieser Software beseitigt werden. Sehen Sie dies wie bei einem Auto, das nach einer gewissen Kilometerleistung in die Inspektion muß und dort neben frischem Öl ausserdem neue Bremsklötze und ein Paar neue Reifen erhält.

Und genau dies wurde beim PiWi-Server der Stadt Wiesbaden nicht gemacht. Dieser Server kann mißbraucht werden für die hier beschriebenen Aktivitäten.

Sollte dieser Server einmal gehackt werden, dann hören wir sicher, daß diese Aktion von Russen durchgeführt wurde.


Nachtrag

19. Januar 2017: Teil 3 des Textes





Anmerkungen:
1) Davon habe ich nämlich keine Ahnung.
2) Man vermutet, daß mind. 150.000 Geräte an dieser Attacke beteiligt waren

Montag, 2. Januar 2017

TLS


Die Sicherheit eines Computer-Systems ist eine wichtige Angelegenheit, denn Sie erinnern sich doch sicherlich noch an die Angriffe auf Telekom-Router Ende November 2016. Man will aber nicht nur die Computer schützen, sondern auch die Anwender, die diesen Computer benutzen und auf diesen Computern Daten ablegen. Mit diesem Text will ich Ihnen einen Weg zeigen, wie die Übertragung von Daten zwischen Ihnen (genauer: Ihrem PC) und einem Server abgesichert wird. Und ich will zeigen, daß auf einem Computer dieser Stadt Sicherheit kleingeschrieben wird.


TLS

Das Thema nennt sich TLS, und diese Buchstaben stehen für Transport Layer Security. Gemeint ist damit die Verschlüsselung des Transports von Daten zwischen den beiden Endpunkten einer Kommunikation. Ein Beispiel: sie wollen auf Ihr Konto schauen. Auf Ihrem Computer rufen Sie dazu die entsprechende Seite Ihre Bank auf. Der Transport der Daten zwischen Ihrem Computer und dem Server der Bank findet dann in verschlüsselter Form statt, denn niemand soll diese Daten mitlesen können, auch nicht auf dem Weg zwischen Ihrem Computer und dem Server der Bank. Also werden die Daten auf Ihrem Computer verschlüsselt und danach auf den Weg geschickt. Der Server der Bank nimmt die verschlüsselte Nachricht entgegen, entschlüsselt sie und hat jetzt wieder Klartext. Anhand dieses Textes erkennt er Ihre Anfrage, sucht die Daten zu Ihrem Konto zusammen, packt sie in eine entsprechende Seite und verschlüsselt das alles. Danach gehen die Daten auf die Reise vom Bank-Server zurück zu Ihrem Computer, der diese (verschlüsselten) Daten entgegennimmt, wieder entschlüsselt und den erhaltenen Text auf dem Bildschirm anzeigt. Somit kann niemand Ihre Daten lesen, wenn sie auf dem Weg zu Ihrem Computer (bzw. auf dem Weg zum Bank-Server) sind. Und wenn er die Daten doch mitliest, dann erhält er die verschlüsselten Daten, also Buchstabensalat. Diesen Salat in eine lesbare Form zu bringen sollte so schwierig sein, daß der Lauscher es lieber unterlässt.

Und TLS ist das Schlagwort, unter dem die Methoden zur sicheren Kommunikation zwischen 2 Computern zusammengefasst werden. Ich möchte Ihnen hier nicht erklären, wie dieses TLS die Sicherheit der Übertragung erreicht Dazu müsste ich tief in ein Teilgebiet der Mathematik eintauchen, da würden Sie mir vermutlich nicht folgen können. Und ob ich das alles so verstehe, das will ich auch mal offen lassen. Aber ich möchte Ihnen trotzdem einige beachtenswerte Punkte zeigen.

Woran erkennen Sie jetzt, daß Ihre Daten verschlüsselt werden? An einem Beispiel möchte ich Ihnen dies zeigen. Für meine Beschreibung verwende ich den Firefox1), ein Beispiel mit dem Internet Explorer folgt dann später in diesem Text.


Nassauische Sparkasse

Am Beispiel einer Bank möchte ich den Sachverhalt verdeutlichen. Sie erreichen die Seite der Nassauischen Sparkasse über diese Adresse: Naspa Nassauische Sparkasse. Hier sehen Sie einen kleinen Ausschnitt aus dem Bild, mit dem sich die Naspa auf meinem Computer präsentierte:


Bitte beachten Sie die beiden roten Kringel, die ich angebracht habe. Im ersten Kringel sehen Sie ein Vorhängeschloß, das soll die verschlüsselte Kommunikation symbolisieren. Im zweiten Kringel sehen Sie die Buchstaben: https. Bei ungesicherten Seiten finden Sie dort nur die Buchstaben http (also ohne das s), bei sicheren Seiten (=Seiten mit verschlüsselter Kommunikation) finden Sie dort https, also die gleichen Buchstaben, aber mit angehängtem Buchstaben s. Das s steht dabei für secure (=sicher).

Bitte achten Sie zukünftig auf diese Symbole.

Aber wie sicher ist dies jetzt?

Jetzt kommt das TLS ins Spiel. Im Rahmen von TLS sind verschiedene Stufen der Qualität und Komplexität der Verschlüsselung definiert worden, die Sie der Wikipedia-Seite zu TLS entnehmen können. Die Arbeit an einer Vorläufer-Version von TLS begann 1994; zwischenzeitlich ist die Rechenleistung der Computer massiv gestiegen, es sind ja auch über 20 Jahre bis zum heutigen Tag. Und vieles, was 1994 noch sicher war, kann man heute ohne grösseren Aufwand knacken und damit lesen. Ausserdem fand man in den alten Verfahren etliche Schwachstellen, die man ausmerzte und somit neue Versionen der entsprechenden Software herausbrachte.

Sicherheit gibt es nicht in absoluter Form; eine Kommunikation kann nur sicher nach dem heutigen Stand der Technik sein. Und deshalb ist es empfehlenswert, ein Computer-System auf dem aktuellen Stand zu halten. Um beim Beispiel Naspa zu bleiben: welche Version setzt die Naspa bei Ihrem Internetauftritt ein? Ist diese Version auch sicher? Und das möchte ich Ihnen jetzt zeigen.


TLS Version x.y?

Schauen Sie sich bitte diese Bilder an2):

Seiteninformation Seiteninformation
Seite 2
Seiteninformation
Seite 3

Das erste Bild erhalten Sie, wenn Sie auf das kleine Icon i (=Seiteninformation) klicken. Sie finden dieses Icon im Firefox direkt neben dem Icon des Vorhängeschlosses. Nach dem Klicken wird Ihnen das abgebildete Fenster angezeigt. Dort können Sie lesen: Sichere Verbindung. Alles in Ordnung, sieht gut aus? Klickt man jetzt auf das Grösser-Zeichen am rechten Bildrand3), so erhält man das im Bild 2 dargestellte Fenster. Sieht doch weiterhin gut aus? Klickt man jetzt auf den Text Weitere Informationen, so erhält man das Fenster des dritten Bildes. Bitte werfen Sie insbesondere einen Blkcik auf die Zeile, die ich mit einem roten Kringel markiert habe, insbesondere auf das Ende der Zeile: TLS-1.2.

Die Seite der Napsa ist sicher, denn das ist die letzte und somit aktuelle Version von TLS, die das Unternehmen Naspa hier einsetzt.

Ich habe dies einmal weitere Seiten geprüft und möchte Ihnen hier die Ergebnisse präsentieren:

www.welt.de www.heise.de www.google.de

Sie sehen, diese Form der sicheren Kommunikation ist nichts aussergewöhnliches. Diese 3 Seiten Welt, Heise und Google verwenden diese Technik, und zwar verwenden alle Seiten diese in der aktuellen Version, also TLS 1.2.

Nun will ich in diesem Blog IT-Themen innerhalb dieser Stadt Wiesbaden beschreiben, wenn auch nicht nur auf diese Stadt bezogen. Also schaue ich mir einmal die offizielle Seite der Stadt Wiesbaden an:


Sie erkennen, daß diese Seite keine Verschlüsselung verwendet. ist dies problematisch? Ich denke nicht, denn über diese Seite werden keine brisanten Informationen ausgetauscht. Aber innerhalb dieser Seite gibt es noch den Zugriff auf ein weiteres System: Politisches Informationssystem Wiesbaden (PIWi). Sie kommen auf diese Seite von der Wiesbaden-Seite aus über:
Rathaus -> Statpolitik -> Politisches Informationssystem

Und so präsentiert sich diese Seite:


Machen wir doch hier auch einmal die Probe aufs Exempel und prüfen den Status dieser Seite ab:

Seiteninformation Seiteninformation
Seite 2
Seiteninformation
Seite 3

Scheint alles sicher zu sein. Bitte schauen Sie sich das letzte Bild an. An der markierten Stelle erkennen Sie die verwendete Version: TLS 1.0. Ist das sicher? Bei den übrigen Beispielen stand dort TLS 1.2.

Was ist der Unterschied zwischen der Version 1.0 und 1.2 von TLS? Schauen wir doch einfach in der Wikipedia nach:


Sie erkennen an diesem Bild, daß die Version 1.0 aus dem Jahr 1999 stammt (genauer: in diesem Jahr wurde die Spezifikation beschlossen). Danach folgte im Jahr 2006 die Version 1.1 und im Jahr 2008 die Version 1.2. An einer Version 1.3 wird aktuell gearbeitet.

Sie sehen, die Stadt Wiesbaden verwendet eine ältere Version von TLS. Ist dies problematisch? Lassen wir doch einfach mal die Seite von einem Profi untersuche und uns einen Bericht dazu geben:


Dieser Server erhielt im Test die Note F. Zusätzlich wurde auf die Gefahr durch Attacken mit den Namen FREAK und POODLE hingewiesen.

Note F: die Seite vergibt Noten von A bis F, wobei F die schlechtest Note ist, die überhaupt vergeben wird4). Dies klingt nicht gut.

FREAK ist der Name für einen Angriff auf solche Server, der im Jahre 2015 bekannt wurde. Wikipedia hat eine Erläuterung dazu: FREAK (Sicherheitslücke). Die Lücke ist längst geschlossen; dazu muß man nur die neuere Version der Software auf den Server einspielen.

POODLE: auch dies ist der Name eines Angriffs auf solche Server; und auch hier hat Wikipedia einen Artikel dazu: Poodle. Auch dieser Fehler ist aus der Software längst entfernt worden; auch hier muß man nur die neuere Software auf den Server einspielen. Entsprechende Hinweise dazu gab es schon im Oktober 2014.


Wie sehen die anderen Seiten aus:
Sicherheits-Niveau einiger Seiten
Sicherheits-Niveau der Seite
www.welt.de
Sicherheits-Niveau der Seite
www.heise.de
Sicherheits-Niveau der Seite
www.google.de

Diese Seiten werden alle positiv bewertet.


Sicherheit erzwingen

Wie sieht das aus, wenn ich eine sichere Verbindung erzwinge? Das kann man machen, dazu muß ich aber eine Einstellung in meinem Firefox verändern.

Warnung: ich werde Ihnen gleich zeigen, welche Einstellung ich wie verändere. Aber bitte nehmen Sie diese Veränderungen auf Ihrem Computer nicht vor, es sei denn Sie fühlen sich sicher bei solchen Anpassungen. Bei einem Auto schrauben Sie ja auch nicht den Motor auseinander. Also: sofern Sie dies nachmachen, dann auf Ihr Risiko.

Im Firefox kann ich einstellen, welche Version von TLS unterstützt wird. Dies sieht dann so aus:


In der blau markierten Zeile sehen Sie eine 1. Mögliche Einträge hier sind eine 3 (=für TLS Version 1.2), eine 2 (für TLS 1.1) oder eine 1 (für TLS 1.0). Schreibe ich dort eine 3 hinein, dann unterstützt mein Browse nur nur die Version 1.2, eine Verbindung mit einer anderen Version wird abgelehnt. Schreibe ich dort eine 2 hinein, dann wird erst versucht, mit der Version 1.2 eine Verbindung aufzubauen, aber beim Scheitern wird die Verbindung mit der Version 1.1 versucht. Bei einer 1 in dieser Zeile wird erst versucht, mit der Version 1.2 eine Verbindung aufzubauen. Im Falle des Scheiterns danach mit der Version 1.1 und bei erneutem Scheitern des Aufbaus wird es mit der Version 1.0 versucht. Genauso läuft es bei der Piwi-Seite.

Sie erinnern sich doch sicherlich an Fax-Geräte. Diese machten am Anfang der Übertrag so merkwürdige Geräsuche. Mit diesen Geräuschen haben sich die beiden Seiten über mehrere Punkte 'unterhalten', u.a. über die Geschwindigkeit der Übertragung. Und so ist auch auch hier, allerdings nicht sichtbar und nicht hörbar.

Was passiert, wenn ich in meinem Browser eine sichere Verbindung erzwinge? Dazu trage ich in der oben angegebenen Zeile eine 2 ein, akzeptiere also nur noch Verbindungen über TLS 1.2, zur Not auch 1.1, aber nicht mehr über die Version 1.0. So präsentiert mir das nun der Firefox:


Sie sehen, eine Verbindung zur Piwi-Seite kann nicht aufgebaut werden, da mein Browser keine Technik anbieten kann, die der Server, also die Piwi-Seite, versteht.


BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist eine Institution der Bundesregierung und untersteht dem Innenministerium. Zitat: Das BSI ist eine unabhängige und neutrale Stelle für Fragen zur IT-Sicherheit in der Informationsgesellschaft.

Zu aktuellen Entwicklungen in der IT-Branche gibt es auch für Bürger Hinweise und Erläuterungen vom BSI: BSI für Bürger. Dort finden Sie unter Empfehlungen Hinweise zu vielen Themen rund um Ihren Computer. Schauen Sie einfach mal dort rein.

Zum Thema sichere Kommunikation im Internet hat das BSI für die Server des Bundes folgende Hinweise gegeben:


Diese Aussagen finden Sie in diesem Dokument des BSI: Technische Richtlinie TR-02102-2 auf der Seite 5. Und natürlich verwendet das BSI auf seiner Seite TLS in der Version 1.2.


Fazit

Der Piwi-Server gehört zur Stadt Wiesbaden und die Kommunikation mit diesem Server ist nicht so richtig sicher. Da die eingesetzte Version von TLS veraltet ist, könnte man sogar von einer unsicheren Kommunikation sprechen.

Nun könnte man natürlich sagen, daß es einen selbst ja nicht betrifft. Sollte dort mal ein böser Bube (oder Mädel) einbrechen und Daten stehlen, betrifft es höchstens die Politiker im Rathaus. Aber ich denke, daß auch dort ein Gefühl für Sicherheit von Daten vorhanden sein sollte. Und wenn sie ihre eigenen Daten nicht schützen, wie schützen sie dann erst die Daten der Bürger?



Internet Explorer

Meine hier abgebildete Bilder bezogen sich bisher auf den Firefox als Browser, aber es gibt ja noch andere Browser, z.B. den Internet Explorer5). Hier sehen Sie, wie man die entsprechenden Informationen im Internet Explorer erhält (am Beispiel der Welt):

so kommen Sie im Internet Explorer an diese Informationen
bitte klicken Sie auf: Datei
und danach auf: Eigenschaften
und Sie sehen die Informationen



Andere Browser

Sie benutzen werde n Firefox noch den Internet Explorer? Dann schauen Sie bitte am Ende dieser Seite nach: Ihre Software sicher einrichten: Verschlüsselung/Zertifikate. Dort beschreibt das BSI bei weiteren Browsern, wie Sie an die hier dargestellten Informationen kommen.

Auf der angegeben Seite des BSI finden Sie auch ein Video, das Ihnen weitere Informationen zum hier beschriebenen Thema liefert.


Nachtrag

11. Januar 2017: Teil 2 des Textes




Anmerkungen:
1) Ich verwende den Firefox in der Version 50.1.0, dies ist die zum Zeitpunkt des Schreibens diese Textes aktuelle Version. Bei älteren Versionen kan der Weg zu den hier dargestellten Informationen ein anderer sein. Dies gilt möglicherweise auch für Versionen des Firefox, die nach Veröffentlichung dieses Textes herauskommen.
2) Klicken Sie bitte auf ein Bild, dann sehen Sie dieses Bild in vergrösserter Form.
3) Sie können diesen Test auch selbst vornehmen: Qualitiy SSL Labs, auf dieser Seite klicken Sie dann bitte auf Test your server.
4) Die Aufstellung zu den Ratings finden Sie hier: SSL Server Rating Guide
5) Für diese Darstellung habe ich den Internet Explorer in der Version 11.0.960.17126 verwendet. Bei anderen Versionen kann der Weg zu den dargestellten Information vom hier beschriebenen Weg abweichen.