Suche
Close this search box.

«In the darkness bind them»: Intransparenz bei OneLog

Transparenz ist die Basis von Vertrauen und vertrauenswürdigem Journalismus. Genau diese fehlt aber rund um das «Schweizer Medien-Login», wie sich OneLog selbst bezeichnet. Über das kommunikative Totalversagen der Medienbranche und weshalb IT-Sicherheit nicht nur aus Labels und Checklisten besteht.

Nicht eingehaltene Transparenzversprechen

Was schreiben sich Journalistinnen und Redaktoren die Finger wund, wenn ein gehyptes Digitalprojekt von Unternehmen und Behörden versagt. Jeder Sicherheitslücke wird seziert, die Hackerforen abgegrast, die Schuldigen gesucht, auf der mangelhaften IT-Sicherheit rumgehackt. Nun trifft es für einmal das Prestigeprojekt der Schweizer Medienbranche – der historisch einmalige Schulterschluss zwischen den grossen Medienverlagen: OneLog. Ein Totalausfall, der die Einnahmequellen vieler Medientitel von heute auf morgen kompromittierte.

Wie gross das Klumpenrisiko einer solchen technischen Lösung ist, zeigt sich anhand der Reaktionen der Medienverlage: es gibt nämlich gar keine. Eine ganze Branche verstummt plötzlich. Ob durch Selbstzensur oder «von oben» oktroyiert. Selbst die NZZ und CH Media halten sich vornehm zurück, denn auch sie werden OneLog integrieren (und waren selbst schon von einer schwerwiegenden Cyberattacke betroffen).

Der Ausfall ist nicht nur ein finanzielles Desaster, sondern auch ein Reputationsrisiko. Um einen grösseren Aufschrei der Leserschaft zu vermeiden, denen das Login-System aufgezwungen wurde, haben die Medienverlage vorübergehend die Paywalls entfernt. Damit – so muss sich OneLog-Management und Tamedia und Ringier – gedacht haben, werden die Nutzerinnen «befriedet».

Das Vertrauen in Journalismus lebt von Transparenz

Und hier beginnt der eigentliche Skandal. Bis heute haben ein paar Medienportale gut versteckt Mitteilungen «in eigener Sache» aufgeschaltet. Glück hat, wer diese überhaupt liest. Und damit sensibilisiert ist für potenzielle Phishing-Emailkampagnen von kriminellen Hackerbanden. Denn diese sind mutmasslich im Besitz der E-Mail-Adressen und gehashten Passwörter. Pech haben jene, die trotz Hashing ein leichtes Passwort verwendet und dieses an mehreren Orten eingesetzt haben.

Um sich als Leserin gegen Risiken zu wappnen und Massnahmen zu ergreifen (wie das Artikel 24 des Datenschutzgesetzes verlangt) braucht es zuerst eines: Man muss überhaupt davon wissen. Doch bis heute wurden die zwei Millionen Betroffenen nicht informiert. Wer sich jetzt einzuloggen versucht, muss ein neues Passwort wählen. Dabei könnten die Medienverlage ihre Nutzerinnen informieren, erhalten sie doch deren Kontaktdaten beim Abschluss von eines Abos.

Wem das Schweigen durch Medien bekannt vorkommt, genau: Auch NZZ und CH Media haben bis heute einen Grossteil des Betroffenen des Cyberhacks von Frühjahr 2023 nicht informiert. Allen voran nicht das ehemalige Personal.

Diese Doppelzüngigkeit der Medienzunft nervt nicht nur. Sie ist fatal für das sonst schon angeschlagene Vertrauen in die Medien. Und sie unterminiert das Vertrauen in deren Digitalisierung.

Fehler können passieren, auch den Medienunternehmen. Entscheidend ist der Umgang damit und wie dazu kommuniziert wird. Und hier lässt sich einfach nur ein Totalversagen der ganzen Branche attestieren.

Intransparenz als Gegenteil von Sicherheit

Bis vor einigen Jahrzehnten war Intransparenz auch das Credo hinter Verschlüsselung und IT-Sicherheitsmassnahmen. Doch inzwischen ist unter Sicherheitsexperten klar: «Security by Obscurity», also Intransparenz über die Art der verwendeten Verschlüsselung und andere IT-Sicherheitsmechanismen schadet den rechtmässigen Nutzer:innen meist mehr und hält dedizierte Angreifer kaum wirklich ab. Es verhindert zudem, dass Betroffene geeignete Massnahmen ergreifen können und gutmütige Dritte zur Verbesserung von Systemsicherheit beitragen können.

Auf diesem Prinzip beruhende Systeme sind intransparent für deren Anwender und damit wenig geeignet, Vertrauen in Sicherheit zu schaffen: „Security by Obscurity ist ein Prinzip, das nicht nur ungeeignet als Sicherungsprinzip bleibt, es ist obendrein kundenfeindlich.“

Wikipedia-Artikel «Security through Obscurity», wiederum Heise Autos zitierend («Klartext: Ganz sicher? Nicht!»). (Stand: 2024-11-04)

Transparenz ist gut, Kontrolle ist besser

Trotzdem: Auch mit Transparenz sieht man einem Unternehmen oder Produkt IT-Sicherheit von aussen nicht an. Denn IT-Sicherheit ist schwierig. Das ist so schwierig, wie eine verwinkelte mittelalterliche Stadt vor Gaunern zu schützen: Ein einziges Schlupfloch reicht dem Angreifer; die Verteidiger müssen in tausenden Gässchen dafür sorgen, dass nichts passiert.

Es gibt keinen fixen Regelkatalog, der IT-Sicherheit löst. Denn IT-Sicherheit ist ein Prozess, eine Lebens- oder Firmeneinstellung. Mit strukturiertem Vorgehen kann man aber vieles erreichen:

Strukturiertes Vorgehen des IT-Sicherheitspersonals ist notwendig. Doch alleine ist es nicht hinreichend. Im Gegenteil.

Wer kennt es nicht, das beliebte Storyelement, bei dem die Eindringlinge den Patrouillen-Zeitplan der Wachen kennen. Und ihn zu ihrem Vorteil ausnutzen.

Das Problem ist aber nicht der Zeitplan selbst, sondern dass auf der Verteidigerseite nie jemand kreativ geworden ist. Und versucht hat, die Checklisten und Pläne der Verteidiger mittels viel Kreativität auszutricksen.

«Sicherheitslabel» wie ISO 27001 und SOC-2 sind genau solche Listen. Sie helfen, ein bestimmtes Mindestmass an Transparenz herzustellen. Aber sie sind auch nur Checklisten. Und Checklisten alleine machen nicht sicher.

Jede IT-Firma muss deshalb Sicherheit im Blut haben, Sicherheit quasi «leben». Und ihre eigene Sicherheit und IT-Sicherheitsprozesse immer wieder kreativ challengen. Im Interesse der Sicherheit von uns allen.

«Digital Trust Label» fordert Transparenz. Eigentlich.

OneLog wurde nach dem Digital Trust Label zertifiziert. Hinter beiden Organisationen steht der Ringier-CEO, da bot sich die Nutzung von Synergien an. Das Digital Trust Label ist jedoch eine Unbekannte im IT-Sicherheitsbereich, auch da es sich in vielen Bereichen im Prinzip auf «halte dich an praxisübliches Vorgehen und die Gesetze» beschränkt. Insbesondere glänzt es aber durch vollständige Abwesenheit von Anweisungen zu sicherer Softwareentwicklung oder Sicherheitstests, aber auch zu Schutz gegen Ransomware und andere Angriffe (nicht-löschbare Backups und klare Rollentrennung).

Sich nach z.B. ISO 27001 zertifizieren zu lassen ist für die entsprechende Firma oft mit riesigem Papierkram verbunden. So gross, dass es vor Jahren das geflügelte Wort gab, dass eine Firma unter 1000 Mitarbeitenden, die sich zertifizieren lassen wolle, dabei drauf ginge. Das Digital Trust Label erfüllt damit einen Bedarf mit anscheinend relativ niedrigen Einstiegshürden. Es ist allerdings ein Irrglaube, sich als Firma — speziell als Login-Provider — alleine auf ein solches Zertifikat zu verlassen.

Screenshot aus dem erwähnten Dokument:

Security

12. Critical security vulnerabilities shall be communicated to relevant authorities within 72 hours if not corrected, and the impacted users shall be timely and adequately informed.

13. Personal data breaches shall be communicated to relevant authorities and impacted data subjects within 72 hours.
Screenshot aus «Digital Trust Criteria, Version 3, Valid as of June 2024». Nutzer:innen sollen bei Sicherheitsproblemen «zeitnah und adäquat» informiert werden, bei Datenklau «innert 72 Stunden».

Das Digital Trust Label sticht dafür aber mit Transparenz: Klare und faire Informationen sowie Dokumentation für die Nutzenden in vielen Bereichen, insbesondere aber Information bei Sicherheitsproblemen und Datenklau werden gross geschrieben.

Transparenz, die aber im Falle von OneLog alles andere als gelebt wird. Denn OneLog will sich nicht zum erfolgten Audit oder zur Existenz allfälliger anderen Audits äussern.

Wenn das Digital Trust Label zukünftig noch etwas Wert sein sollte, müsste seine Herausgeberin, die Swiss Digital Initiative, jetzt klar Position beziehen und sich für die Einhaltung der Kriterien einsetzen. Oder zumindest mit dem Entzug des Labels drohen. Ganz besonders ein junges Label, das noch auf der Suche nach Akzeptanz ist. Warten wir ab, was da noch passiert.

(Die Swiss Digital Initiative wurde für weitere Informationen angefragt. Diese werden ergänzt, sobald sie vorliegen.)

Lessons Learned

Der Betrieb von IT-Systemen ist schwierig, der sichere Betrieb noch schwieriger. Schutz gegen Ransomware-Angriffe ist auch alles andere als trivial; aber in den letzten 10 Jahren haben sich auch dort verschiedene Schutzmechanismen etabliert.

Single-Sign-On-Systeme wie OneLog stehen vor zusätzlichen Anforderungen bezüglich Sicherheit und Verfügbarkeit. Checklisten und unabhängige Audits helfen dabei, den Überblick über die IT-Prozesse und ihre Anforderungen zu behalten. Aber das alleine reicht nicht aus. Daneben braucht es auch gutes und kreatives Personal.

Das alles bedeutet auch Aufwand und Kosten. Wenn sie höher sind als die Vorteile, den das IT-System zur Wertschöpfungskette des Unternehmens beiträgt, muss an diese Wertschöpfungskette analysiert und möglicherweise umgebaut werden. Und ein einfacherer oder sicherer Ablauf gefunden werden.

Ein Sicherheitsvorfall kann — trotz aller Vorbereitung und allen Schutzmassnahmen — jedem passieren. Günstiger als Schutzmassnahmen sind aber eine adäquate, transparente Kommunikation danach. Wenn einem das Vertrauen in die Marke etwas wert ist.

Der erste Teil dieses Artikels erschien am Montag auch beim Medien-Fachportal persoenlich.com.

Weiterführende Texte

Mehr zu IT-Sicherheit bei DNIP

dnip.ch mit Deiner Spende unterstützen

Wir wollen, dass unsere Inhalte frei verfügbar sind, weil wir es wichtig finden, dass möglichst viele Menschen in unserem Land die politischen Dimensionen der Digitalisierung erkennen und verstehen können.

Damit das möglich ist, sind wir auf deine Unterstützung angewiesen. Jeder Beitrag und sei er noch so klein, hilft uns, unsere Aufgabe wahrzunehmen.

3 Antworten

  1. «Bis vor einigen Jahrzehnten war Intransparenz auch das Credo hinter Verschlüsselung und IT-Sicherheitsmassnahmen.»
    Jahrzehnte? Kerckhoffs‘ Prinzip ist von 1883.

    1. Der Satz ist zweiteilig, deshalb hier auch eine zweiteilige Antwort:

      1. Kerckhoffs’ Prinzip ist prinzipiell über 150 Jahre alt: Die Idee, dass bei einem guten Verschlüsselungsalgorithmus nur die verwendeten Schlüssel geheim gehalten werden müssen, der Algorithmus könne öffentlich sein.
        Gelebt wird es aber erst seit wenigen Jahren. Enigma (bis vor ca. 60 Jahren in Betrieb), Clipper-Chip (vor 30 Jahren) oder die Crypto AG (bis vor wenigen Jahren) zeigen auf, dass insbesondere staatliche Akteure lange an geheimen Verschlüsselungsalgorithmen festhielten. Und ich habe mir sagen lassen, dass der «Roll your own crypto»-Trend in gewissen Kreisen nach wie vor weitergeht.
      2. Bei IT-Sicherheitsmassnahmen lebt diese Kultur auch noch sehr verbreitet weiter. Die Denkweise wird auch häufig als Argument gegen die Nutzung von Open-Source-Lösungen eingesetzt.

      Ja, aber wäre schön, wenn Kerckhoffs mehr zur Allgemeinbildung beitragen würde. Und Transparenz mehr gelebt würde.

  2. Besten Dank für diesen Artikel, der die Bedeutung von Unabhängigkeit unterstreicht. Die vom Vorfall betroffenen Medien halten sich deutlich mit Kritik oder auch Aufklärungsarbeit zurück, womit sie sich bei Vorfällen – welche in den letzten Jahren Schweizer Unternehmen wie bspw. Xplain betroffen haben – teilweise profiliert haben.

    Dies zeigt, wie wichtig unabhängige Einschätzungen sind, auch bei IT-Sicherheit. Daher möchte ich eine Präzisierung / Differenzierung zu den Ihnen genannten „Sicherheitslabels“ anbringen, die sie im Artikel angesprochen und aus meiner Sicht etwas einfach über den gleichen Kamm geschert haben 🙂

    ISO 27001: Als Zertifizierung für ein Informationssicherheitssystem (ISMS) bringt es nebst den angesprochenen „Papier-Tiger-Aspekten“ den Mehrwert einer solchen unabhängigen Sicht des Zertifizierers / der Zertifiziererin auf die Sicherheitsbemühungen eines Unternehmens und dies über die Laufzeit des Zertifikats (jeweils 3 Jahre) durch jährliche Prüfungen. Der Fokus liegt bei ISO 27001 primär auf dem Design des Sicherheitsdispositivs, also wie das Unternehmen beabsichtigt, Daten & Systeme zu schützen.

    SOC 2 / ISAE 3000 u.ä.: Können vor allem in der Ausprägung Typ 2 einen deutlichen Mehrwert gegenüber der ISO 27001-Zertifizierung darstellen, indem noch mehr Transparenz für Kunden & Partner geschaffen wird. Hierbei wird von externer Stelle attestiert (nicht zertifiziert) dass die definierten Kontrollen im Sicherheitsdispositiv (über einen bestimmten Zeitraum) auch tatsächlich wie designed umgesetzt worden sind und funktionieren. Es handelt sich hierbei um eine vertiefte Prüfung der operativen Effektivität dieser Sicherheitskontrollen.
    Dies ist mit Mehraufwand verbunden weist dabei aber auch transparenter, nachvollziehbarer aus, welche Sicherheitskontrollen im Betrieb korrekt umgesetzt werden konnten und welche nicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge