"Es handele sich in diesem Fall nicht um ein sicherheitskritisches Passwort, welches Zugang zu schützenswerten Daten gewähre, sondern wohl eher um die Ausnutzung einer Sicherheitslücke zu verhindern" usw. usf. bla, bla, bla.
Wirklich selten so gelacht, kann man da nur noch sagen. Erst sperrt der Provider ohne Rechtsgrundlage einem gleich den ganzen online shop, begründet dies mit Gründen der Datensicherheit und redet sich nun heraus, dass das ja anscheinend gar nicht sooo kritisch war.
Denn konkret gelten doch bei jedem Angriff auf ein Serversystem diese Grundregeln:
- Ein bereits wie auch immer erfolgter Angriff lässt doch sehr sicher den Schluß zu, dass der Angreifer den Server auf dem Kiecker hat, wie der Berliner in solchen Fällen zu sagen pflegt.
- So wird natürlich dem Angreifer auffallen, dass dieser plötzlich Paßwort geschützt ist.
- Wenn der Angreifer nun schon den Server auf dem Kiecker hat, dann kann niemand ausschließen, dass nicht Mails, die über diesen Server vom Angreifer laufen mitgelesen werden. Es ist ja ein offensichtliches Sicherheitsleck vorhanden, sonst hätte ja der Angreifer nicht angreifen können.
- Wenn nun aber latent die Möglichkeit besteht, dass der Angreifer Mails mitliest, dann kommt er natürlich so auch an das unverschlüsselt übermittelte Passwort.
- Der Rest ist dann ganz einfach erklärt: Er baut das Passwort in sein Skript ein, so loggt sich der Angreifer per Skript ein und treibt weiter sein Unwesen.
So etwas kennt man ja eigentlich nur aus der DDR. Da gab es zwar noch kein Internet nur liefen dort auch so manche Kader mit einem Schild wOh auf der Brust herum und sobald sie den Mund aufmachten, stellte man fest: "Mal wieder mehr Schein als Sein." WOh heißt übrigens weitere Orden hinten.