Zweifel an pidder

Um mich nicht dem Vorwurf destruktiver Kritik aussetzen, verliere ich ausnahmsweise auch mal ein paar Worte darüber, was mir an pidder gefällt. (Kostenlose Verbesserungsvorschläge gibt es von mir aber sicher nicht, den pidder ist ein kommerzielles Angebot.)

pidder ist für Browserabhängige* sicher sehr praktisch und — solange es exakt so läuft, wie die Macher es sich überlegt haben — sicherer als zum Beispiel ein Single Sign-on** wie von Web.de angeboten. Ungewöhnlich ist die vergleichsweise ausführliche Auseinandersetzung mit Security auf den Webseiten. (Mir reicht sie trotzdem nicht.) Die pidder-Macher zitieren den Security-Experten Bruce Schneier und behaupten, dass sie Entwicklungen im Bereich der Kryptologie aufmerksam verfolgen würden. Ob das stimmt, oder ob das Zitat nur ergoogelt wurde, muss die Zeit zeigen.

(* Browserabhängige nenne ich jetzt mal Menschen, die Dienste, für die es eigentlich geeignete komfortable Software gibt, nur per Weboberfläche einsetzen können oder wollen. Insbesondere E-Mail und Chat.)

(** Mir ist bislang völlig unklar, wie die Datenfreigabe anderen pidder-Nutzern gegenüber abläuft und ob irgendeine Prüfung der involvierten öffentlichen Schlüssel vorgesehen ist. Deswegen habe ich überwiegend den Single-Sign-On-Aspekt im Auge.)


Was mir missfällt, ist dann schon "etwas" mehr, daher habe ich meine Betrachtungen untergliedert:

• das Unternehmen
• die pidder-Webseite
• pidders Security-Konzept
• Fazit

das Unternehmen

Da es hier um Security und somit auch um Vertrauen geht, werfe ich wenigstens einen kurzen Blick auf das Unternehmen, dass sich pidder ausgedacht hat: Die Versaneo GmbH hat nach eigenen Angaben die Geschäftsbereiche "Entwicklung innovativer Lösungen" (bisher eben pidder) und "Beratung", und stellt außerdem "Business Angels".

Versaneo behauptet von sich:

Von Beginn an haben wir die Entstehung des Internets verfolgt und seine Entwicklung mitgestaltet.

Dazu hätte ich mir ja ein paar Details gewünscht.

Immerhin ist man bei der Umsetzung bescheiden:

(...) wir wollen das Rad nicht neu erfinden, sondern für alle zum Rollen bringen.

Unter den Gründern sind zwei Naturwissenschaftler, die beide einmal Führungsaufgaben in IT-Unternehmen hatten. Ins Auge sticht bei beiden der Begriff des "Wissensmanagements" und dass sie als "Berater" tätig waren. Das lässt Raum für Interpretationen. Qualifikationen im Bereich Security konnte ich keine entdecken, Nicht-Gründer werden nicht aufgeführt.

die pidder-Webseite

Wenig vertrauenerweckend ist die Aufmachung von pidder.de. Ein Web-2.0-Sternchen fordert zur kostenlosen Registrierung(!) auf, und im Titel steht ernsthaft ein "beta". Dazu gab es hier im Blog schon mal eine nette Diskussion, und bei pidder kam mir die Formel in den Sinn:

Security + beta = beta

Das Design der Webseite ist langweilig und wie aus dem Ei gepellt (vermutlich ein Retorten-Design), und außerdem garniert mit inhaltslosen Marketing-Phrasen, wo man schaut:

Quicklogins ermöglichen die schnelle Anmeldung auf Websites mit nur einem Klick (...)

Die richtige Ordnung erspart Ihnen Zeit. In pidder strukturieren Sie Ihre echte und Ihre virtuellen Identitäten über Personas, Brieftaschen und Karten.

Der Spagat, die Vorteile des Single Sign-Ons mit Verschlüsselungsextras herauszustellen und das ganze dabei für Normaluser verständlich zu halten schlug offensichtlich fehl, so dass man sich auf den Hauptseiten auf in meinen Augen abschreckend platte Werbeaussagen beschränkt.

Die Überschrift auf der Seite ist übrigens: "Wir haben doch alle keine Zeit" — das passt, denn in der Tat möchte man sich nach dem ersten schlechten Eindruck direkt wichtigerem zuwenden. Wer neugierig ist und weiter schaut, bekommt noch einen schlechten zweiten:

Heutzutage sind überall Zugangsdaten notwendig und somit ist es unmöglich, sich alle zu merken. Benutzen Sie nur eine Nutzerkennung für alle Zugänge? Damit öffnen Sie Betrügern und Hackern Tür und Tor!

pidder ist Ihr sicherer digitaler Schlüsselbund für zuhause und unterwegs. Sie müssen sich nur eine Passphrase merken, um bequem an alle Zugangsdaten heran zu kommen.

Dieser Widerspruch, dass man nicht nur eine Nutzerkennung haben soll, aber alle seine Zugänge unter einer solchen bei pidder verwalten, fällt nicht jedem auf. Den üblichen Multiplikatoren schon.

Wie es sich für ein Web-2.0-Projekt gehört hat pidder auch ein Blog. Immerhin: Ein paar Glaubwürdigkeitspunkte gibt es für den Hinweis auf die Dokumentation "Der gläserne Deutsche".

pidders Security-Konzept

Wer sich tiefergehend mit pidder auseinandersetzen möchte, stellt fest, dass Wiki und Forum mehr oder weniger leer sind. Das könnte sich noch ändern, aber zum jetzigen Zeitpunkt ist es ziemlich mau, und man muss sich mit den Informationen aus den FAQs zufrieden geben.

Dort erfährt man, dass der Dienst auf den "Host-proof"-Ansatz setzt. SSL ist eine Selbstverständlichkeit, um die Übertragung zu schützen, aber pidder lässt darüber hinaus die zu schützenden Daten clientseitig verschlüsseln, so dass ein Angriff auf die Datenbank sinnlos erscheint. Die Idee ist grundsätzlich nicht neu und sogar eine der "Rechtfertigungen" für den Bundestrojaner.

Die Verschlüsslungsalgorithmen sind in JavaScript implementiert, werden also vom Browser ausgeführt. Zusammengefasst sind sie in der OpenSource-Bibliothek pidCrypt. (SourceForge-Projektseite.)

In meinen Augen ist es so, dass pidder einen Riesenzirkus um das eigentliche Sicherheitsproblem herum macht. Das Schneier-Zitat wirkt als Anbiederung, da der ganze Rest von pidder nicht OpenSource ist. OpenSource ist hier ohnehin kein Allheilmittel. Zwar könnte theoretisch jeder die Sicherheit des veröffentlichten Codes prüfen, doch wer stellt sicher, dass man auch genau diesen Code erhält, wenn man sich mit seinem Browser bei pidder einloggt? Der Code könnte ausgetauscht werden:
• Serverseitig von einem Insider — also einem Mitarbeiter, Administrator — oder auch vom "Reinigungspersonal" und klassischen Einbrechern, falls in den Büroräumen irgendwo einen Klebezettel mit Passwort am Monitor hängt. Macht man das selektiv, dann fällt das auch nicht auf.
• Während der Übertragung zum Beispiel durch einen XSS-Angriff.
• Clientseitig durch direkte Angriffe auf den Browser, wie die Ausnutzung von Exploits oder Einschleusen von SSL-Zertifikaten, oder...

Auf einer nur über mehrere Klicks erreichbaren Unterseite der FAQs weist pidder auf einige dieser Probleme hin. Auf dieser Seite erfährt man nicht nur, dass die pidder-Macher den Internet Explorer in der Version 8 für einigermaßen sicher halten (ich habe da meine Zweifel), sondern auch, dass man seinen Browser am besten nur in einer virtuellen Maschine benutzt. Und das VM-Image ist vor jeder Benutzung zurückzusetzen. Alles klar soweit?

Wenn jemand das alles hinbekommt, dann wird er sicher auch keine Probleme haben, trotz der Rücksetzung noch regelmäßig Browserupdates in sein VM-Image einzuspielen. Nur ist er dann kein normaler Anwender mehr, der von Diensten wie pidder etwas hätte.

Und welchen Sinn hat pidder, wenn ich es nicht auf Reisen einsetzen kann? Wenn ich meinen Rechner sowieso dabei habe, wofür brauche ich dann noch pidder? Der Browser speichert die verschiedenen Logins sowieso verschlüsselt. Das gilt auch für das eigene System auf dem USB-Stick.

Achja: Irgendeine Zertifizierung kann pidder bisher nicht vorweisen.

Fazit

Ich glaube, bei pidder hat man sich ein paar Gedanken gemacht, die über das hinausgehen, was andere Single-Sign-On-Dienste bieten. Das ist schön, doch bleiben die bekannten grundsätzlichen Probleme ungelöst.

Mir stellt sich die Frage, ob durch einen solchen Dienst "unter dem Strich" Sicherheit gewonnen wird. Wenn alle, die bisher für verschiedene Dienste das gleiche Passwort oder einen weniger sicheren Single-Sign-On-Dienst benutzt haben, zu pidder wechseln, dann ja. Wenn pidder gehackt oder von zweifelhaften Rechnern in zweifelhaften Web-Cafes in zweifelhaften Ländern benutzt wird, aber nicht. Von letzterem ist auszugehen, folglich vergrößert pidder eher schon bestehende Sicherheitsprobleme. Ist die Passphrase erstmal in den falschen Händen, können Kriminelle nicht mehr nur einen oder zwei Dienste missbrauchen, sondern alle, deren Zugangsdaten das Opfer bei pidder hinterlegt hat.

Gelingt es Crackern, Daten von pidder-Usern über einen längeren Zeitraum unbemerkt abzugreifen, kann der Schaden wegen des in den Dienst gesetzten Vertrauens und der Bündelung von Zugangs- und (ggf. auch persönlichen) Daten erheblich sein. Durch die Ansammlung von Zugangsdaten wird pidder zum Single Point of Failure, und für Angreifer zum besonders lohnenden Ziel.

Als Bezahldienst dürfte pidder schon einen schweren Start haben, aber in solchen Fällen hagelt es dann auch noch Kündigungen, da zahlende Kunden höhere Ansprüche haben. Am Ende ist pidder womöglich schneller tot als erwartet. Und wie jedes andere Unternehmen will pidder Geld verdienen, hat also ein unmittelbares wirtschaftliches Interesse daran, Sicherheitslücken möglichst lange geheimzuhalten. Man kann hier auf eine modernere Kultur hoffen. Oder man lässt es einfach.

Das Motto von pidder ist:

Es sind Ihre Daten^beta

Genau. Und deshalb bleiben sie auch hier.