Transparenz ist die Basis von Vertrauen und vertrauenswürdigem Journalismus. Genau diese fehlt aber rund um das «Schweizer Medien-Login», wie sich OneLog selbst bezeichnet. Über das kommunikative Totalversagen der Medienbranche und weshalb IT-Sicherheit nicht nur aus Labels und Checklisten besteht.
Nicht eingehaltene Transparenzversprechen
Was schreiben sich Journalistinnen und Redaktoren die Finger wund, wenn ein gehyptes Digitalprojekt von Unternehmen und Behörden versagt. Jeder Sicherheitslücke wird seziert, die Hackerforen abgegrast, die Schuldigen gesucht, auf der mangelhaften IT-Sicherheit rumgehackt. Nun trifft es für einmal das Prestigeprojekt der Schweizer Medienbranche – der historisch einmalige Schulterschluss zwischen den grossen Medienverlagen: OneLog. Ein Totalausfall, der die Einnahmequellen vieler Medientitel von heute auf morgen kompromittierte.
Wie gross das Klumpenrisiko einer solchen technischen Lösung ist, zeigt sich anhand der Reaktionen der Medienverlage: es gibt nämlich gar keine. Eine ganze Branche verstummt plötzlich. Ob durch Selbstzensur oder «von oben» oktroyiert. Selbst die NZZ und CH Media halten sich vornehm zurück, denn auch sie werden OneLog integrieren (und waren selbst schon von einer schwerwiegenden Cyberattacke betroffen).
Der Ausfall ist nicht nur ein finanzielles Desaster, sondern auch ein Reputationsrisiko. Um einen grösseren Aufschrei der Leserschaft zu vermeiden, denen das Login-System aufgezwungen wurde, haben die Medienverlage vorübergehend die Paywalls entfernt. Damit – so muss sich OneLog-Management und Tamedia und Ringier – gedacht haben, werden die Nutzerinnen «befriedet».
Das Vertrauen in Journalismus lebt von Transparenz
Und hier beginnt der eigentliche Skandal. Bis heute haben ein paar Medienportale gut versteckt Mitteilungen «in eigener Sache» aufgeschaltet. Glück hat, wer diese überhaupt liest. Und damit sensibilisiert ist für potenzielle Phishing-Emailkampagnen von kriminellen Hackerbanden. Denn diese sind mutmasslich im Besitz der E-Mail-Adressen und gehashten Passwörter. Pech haben jene, die trotz Hashing ein leichtes Passwort verwendet und dieses an mehreren Orten eingesetzt haben.
Um sich als Leserin gegen Risiken zu wappnen und Massnahmen zu ergreifen (wie das Artikel 24 des Datenschutzgesetzes verlangt) braucht es zuerst eines: Man muss überhaupt davon wissen. Doch bis heute wurden die zwei Millionen Betroffenen nicht informiert. Wer sich jetzt einzuloggen versucht, muss ein neues Passwort wählen. Dabei könnten die Medienverlage ihre Nutzerinnen informieren, erhalten sie doch deren Kontaktdaten beim Abschluss von eines Abos.
Wem das Schweigen durch Medien bekannt vorkommt, genau: Auch NZZ und CH Media haben bis heute einen Grossteil des Betroffenen des Cyberhacks von Frühjahr 2023 nicht informiert. Allen voran nicht das ehemalige Personal.
Diese Doppelzüngigkeit der Medienzunft nervt nicht nur. Sie ist fatal für das sonst schon angeschlagene Vertrauen in die Medien. Und sie unterminiert das Vertrauen in deren Digitalisierung.
Fehler können passieren, auch den Medienunternehmen. Entscheidend ist der Umgang damit und wie dazu kommuniziert wird. Und hier lässt sich einfach nur ein Totalversagen der ganzen Branche attestieren.
Intransparenz als Gegenteil von Sicherheit
Bis vor einigen Jahrzehnten war Intransparenz auch das Credo hinter Verschlüsselung und IT-Sicherheitsmassnahmen. Doch inzwischen ist unter Sicherheitsexperten klar: «Security by Obscurity», also Intransparenz über die Art der verwendeten Verschlüsselung und andere IT-Sicherheitsmechanismen schadet den rechtmässigen Nutzer:innen meist mehr und hält dedizierte Angreifer kaum wirklich ab. Es verhindert zudem, dass Betroffene geeignete Massnahmen ergreifen können und gutmütige Dritte zur Verbesserung von Systemsicherheit beitragen können.
Auf diesem Prinzip beruhende Systeme sind intransparent für deren Anwender und damit wenig geeignet, Vertrauen in Sicherheit zu schaffen: „Security by Obscurity ist ein Prinzip, das nicht nur ungeeignet als Sicherungsprinzip bleibt, es ist obendrein kundenfeindlich.“
Wikipedia-Artikel «Security through Obscurity», wiederum Heise Autos zitierend («Klartext: Ganz sicher? Nicht!»). (Stand: 2024-11-04)
Transparenz ist gut, Kontrolle ist besser
Trotzdem: Auch mit Transparenz sieht man einem Unternehmen oder Produkt IT-Sicherheit von aussen nicht an. Denn IT-Sicherheit ist schwierig. Das ist so schwierig, wie eine verwinkelte mittelalterliche Stadt vor Gaunern zu schützen: Ein einziges Schlupfloch reicht dem Angreifer; die Verteidiger müssen in tausenden Gässchen dafür sorgen, dass nichts passiert.
Es gibt keinen fixen Regelkatalog, der IT-Sicherheit löst. Denn IT-Sicherheit ist ein Prozess, eine Lebens- oder Firmeneinstellung. Mit strukturiertem Vorgehen kann man aber vieles erreichen:
- Bei der Softwareentwicklung darauf achten, dass die Software einfach und übersichtlich bleibt; die Prozesse möglichst standardisiert und automatisiert ablaufen; und — ganz wichtig! — im Verlauf der Softwareentwicklung ganz viele automatisierte Tests eingerichtet werden.
- Genügend fähiges, erfahrenes Personal bei der Softwareentwicklung und dem Betrieb der Dienste einsetzen.
Strukturiertes Vorgehen des IT-Sicherheitspersonals ist notwendig. Doch alleine ist es nicht hinreichend. Im Gegenteil.
Wer kennt es nicht, das beliebte Storyelement, bei dem die Eindringlinge den Patrouillen-Zeitplan der Wachen kennen. Und ihn zu ihrem Vorteil ausnutzen.
Das Problem ist aber nicht der Zeitplan selbst, sondern dass auf der Verteidigerseite nie jemand kreativ geworden ist. Und versucht hat, die Checklisten und Pläne der Verteidiger mittels viel Kreativität auszutricksen.
«Sicherheitslabel» wie ISO 27001 und SOC-2 sind genau solche Listen. Sie helfen, ein bestimmtes Mindestmass an Transparenz herzustellen. Aber sie sind auch nur Checklisten. Und Checklisten alleine machen nicht sicher.
Jede IT-Firma muss deshalb Sicherheit im Blut haben, Sicherheit quasi «leben». Und ihre eigene Sicherheit und IT-Sicherheitsprozesse immer wieder kreativ challengen. Im Interesse der Sicherheit von uns allen.
«Digital Trust Label» fordert Transparenz. Eigentlich.
OneLog wurde nach dem Digital Trust Label zertifiziert. Hinter beiden Organisationen steht der Ringier-CEO, da bot sich die Nutzung von Synergien an. Das Digital Trust Label ist jedoch eine Unbekannte im IT-Sicherheitsbereich, auch da es sich in vielen Bereichen im Prinzip auf «halte dich an praxisübliches Vorgehen und die Gesetze» beschränkt. Insbesondere glänzt es aber durch vollständige Abwesenheit von Anweisungen zu sicherer Softwareentwicklung oder Sicherheitstests, aber auch zu Schutz gegen Ransomware und andere Angriffe (nicht-löschbare Backups und klare Rollentrennung).
Sich nach z.B. ISO 27001 zertifizieren zu lassen ist für die entsprechende Firma oft mit riesigem Papierkram verbunden. So gross, dass es vor Jahren das geflügelte Wort gab, dass eine Firma unter 1000 Mitarbeitenden, die sich zertifizieren lassen wolle, dabei drauf ginge. Das Digital Trust Label erfüllt damit einen Bedarf mit anscheinend relativ niedrigen Einstiegshürden. Es ist allerdings ein Irrglaube, sich als Firma — speziell als Login-Provider — alleine auf ein solches Zertifikat zu verlassen.
Das Digital Trust Label sticht dafür aber mit Transparenz: Klare und faire Informationen sowie Dokumentation für die Nutzenden in vielen Bereichen, insbesondere aber Information bei Sicherheitsproblemen und Datenklau werden gross geschrieben.
Transparenz, die aber im Falle von OneLog alles andere als gelebt wird. Denn OneLog will sich nicht zum erfolgten Audit oder zur Existenz allfälliger anderen Audits äussern.
Wenn das Digital Trust Label zukünftig noch etwas Wert sein sollte, müsste seine Herausgeberin, die Swiss Digital Initiative, jetzt klar Position beziehen und sich für die Einhaltung der Kriterien einsetzen. Oder zumindest mit dem Entzug des Labels drohen. Ganz besonders ein junges Label, das noch auf der Suche nach Akzeptanz ist. Warten wir ab, was da noch passiert.
(Die Swiss Digital Initiative wurde für weitere Informationen angefragt. Diese werden ergänzt, sobald sie vorliegen.)
Lessons Learned
Der Betrieb von IT-Systemen ist schwierig, der sichere Betrieb noch schwieriger. Schutz gegen Ransomware-Angriffe ist auch alles andere als trivial; aber in den letzten 10 Jahren haben sich auch dort verschiedene Schutzmechanismen etabliert.
Single-Sign-On-Systeme wie OneLog stehen vor zusätzlichen Anforderungen bezüglich Sicherheit und Verfügbarkeit. Checklisten und unabhängige Audits helfen dabei, den Überblick über die IT-Prozesse und ihre Anforderungen zu behalten. Aber das alleine reicht nicht aus. Daneben braucht es auch gutes und kreatives Personal.
Das alles bedeutet auch Aufwand und Kosten. Wenn sie höher sind als die Vorteile, den das IT-System zur Wertschöpfungskette des Unternehmens beiträgt, muss an diese Wertschöpfungskette analysiert und möglicherweise umgebaut werden. Und ein einfacherer oder sicherer Ablauf gefunden werden.
Ein Sicherheitsvorfall kann — trotz aller Vorbereitung und allen Schutzmassnahmen — jedem passieren. Günstiger als Schutzmassnahmen sind aber eine adäquate, transparente Kommunikation danach. Wenn einem das Vertrauen in die Marke etwas wert ist.
Der erste Teil dieses Artikels erschien am Montag auch beim Medien-Fachportal persoenlich.com.
Weiterführende Texte
- Adrienne Fichter: Nach dem Hack ist vor dem grossen Schweigen, persoenlich.com, 2024-11-04.
Die Originalversion der erste Hälfte dieses Artikels. - Adrienne Fichter: Was der Angriff auf das Prestigeprojekt der Schweizer Medienhäuser bedeutet, Republik, 2024-11-04.
Wissensstand, Hintergrundinformationen und Überlegungen zu OneLog. - Marcel Waldvogel: Sicherheit versteckt sich gerne, 2024-09-13.
Mehr Information dazu, wieso man IT-Sicherheit schlecht erkennt. Und welchen Wert Zertifizierungen haben. Und was für IT-Sicherheit wichtig ist. - Andreas Von Gunten: Das Schweizer Medien-Login-System OneLog wurde gehackt, 2024-10-25.
Überlegungen auch zum Digital Trust Label. - Swiss Digital Initiative: Digital Trust Criteria Catalogue, abgerufen 2024-11-05.
Die Liste der Kriterien für das Digital Trust Label sowie Erläuterungen, wie diese Kriterien zu interpretieren sind. - John Lambert: Defenders think in lists. Attackers think in graphs. As long as this is true, attackers win, 2015.
Überlegungen zu den Denkweisen, die nötig sind zur Aufrechterhaltung von IT-Sicherheit. - Marcel Waldvogel: Was uns Ransomware zu Datenschutz und Datensicherheit lehrt, 2022-12-05.
Wie jedermann mit ein paar einfachen Tipps sich und seine Daten sicherer machen kann.
3 Antworten
«Bis vor einigen Jahrzehnten war Intransparenz auch das Credo hinter Verschlüsselung und IT-Sicherheitsmassnahmen.»
Jahrzehnte? Kerckhoffs‘ Prinzip ist von 1883.
Der Satz ist zweiteilig, deshalb hier auch eine zweiteilige Antwort:
Gelebt wird es aber erst seit wenigen Jahren. Enigma (bis vor ca. 60 Jahren in Betrieb), Clipper-Chip (vor 30 Jahren) oder die Crypto AG (bis vor wenigen Jahren) zeigen auf, dass insbesondere staatliche Akteure lange an geheimen Verschlüsselungsalgorithmen festhielten. Und ich habe mir sagen lassen, dass der «Roll your own crypto»-Trend in gewissen Kreisen nach wie vor weitergeht.
Ja, aber wäre schön, wenn Kerckhoffs mehr zur Allgemeinbildung beitragen würde. Und Transparenz mehr gelebt würde.
Besten Dank für diesen Artikel, der die Bedeutung von Unabhängigkeit unterstreicht. Die vom Vorfall betroffenen Medien halten sich deutlich mit Kritik oder auch Aufklärungsarbeit zurück, womit sie sich bei Vorfällen – welche in den letzten Jahren Schweizer Unternehmen wie bspw. Xplain betroffen haben – teilweise profiliert haben.
Dies zeigt, wie wichtig unabhängige Einschätzungen sind, auch bei IT-Sicherheit. Daher möchte ich eine Präzisierung / Differenzierung zu den Ihnen genannten „Sicherheitslabels“ anbringen, die sie im Artikel angesprochen und aus meiner Sicht etwas einfach über den gleichen Kamm geschert haben 🙂
ISO 27001: Als Zertifizierung für ein Informationssicherheitssystem (ISMS) bringt es nebst den angesprochenen „Papier-Tiger-Aspekten“ den Mehrwert einer solchen unabhängigen Sicht des Zertifizierers / der Zertifiziererin auf die Sicherheitsbemühungen eines Unternehmens und dies über die Laufzeit des Zertifikats (jeweils 3 Jahre) durch jährliche Prüfungen. Der Fokus liegt bei ISO 27001 primär auf dem Design des Sicherheitsdispositivs, also wie das Unternehmen beabsichtigt, Daten & Systeme zu schützen.
SOC 2 / ISAE 3000 u.ä.: Können vor allem in der Ausprägung Typ 2 einen deutlichen Mehrwert gegenüber der ISO 27001-Zertifizierung darstellen, indem noch mehr Transparenz für Kunden & Partner geschaffen wird. Hierbei wird von externer Stelle attestiert (nicht zertifiziert) dass die definierten Kontrollen im Sicherheitsdispositiv (über einen bestimmten Zeitraum) auch tatsächlich wie designed umgesetzt worden sind und funktionieren. Es handelt sich hierbei um eine vertiefte Prüfung der operativen Effektivität dieser Sicherheitskontrollen.
Dies ist mit Mehraufwand verbunden weist dabei aber auch transparenter, nachvollziehbarer aus, welche Sicherheitskontrollen im Betrieb korrekt umgesetzt werden konnten und welche nicht.