Hypatia TheonDer nackte Biologe

Der nackte Biologe in der Lobby

Sorry, Wir bilden keine Hacker aus

Wer jetzt eine genaue Anleitung für Hacker erwartet, liegt ganz falsch.
Dies hier ist keine Anleitung für Hacker ,oder soll in keinster Hinsicht Internetkriminalität fördern. Mein Ziel dabei ist es, den Leser auf das Thema Intranetsicherheit aufmerksam zu machen.

Die Story vom nackten Biologen in der Lobby:

Amir Ahmed ist ein 13 Jahre alter Realschüler und bat mich um Hilfe bei der Rettung des Intranets in seiner Schule.
Amir schilderte mir das Problem so: Seine Schule hat seit 4 Jahren ein nicht richtig funktionierendes Intranet, was seine Freunde aus anderen Schulen lächerlich finden. Fast in jeder Wohngemeinschaft gibt es ein funktionierendes Intranet.

Ich fragte Amir, warum er und nicht die Schulleitung sich ums Intranet kümmern muß. Amir erzählte mir, dass der Chemielehrer als EDV-Beauftragter und der Schul-Hausmeister das Intranet-System gemeinsam zusammen geschustert haben, und kein Mensch traut sich dieses System offen zu kritisieren, da der Chemielehrer ein mächtiger Lobbyist ist. Ich fragte ihn: „Was meinst Du mit „Lobbyist“?“ Er sagte: „Der Chemielehrer steht meistens in der Lobby und unterhält sich mit anderen Personen aus dem Lehrpersonal. Oder er sitzt im Lehrerzimmer auf einem Sessel und telefoniert mit wichtigen Personen aus Wirtschaft und Politik.“ Ich sagte ihm: „Aber Chemiker sind in der Regel intelligente und technisch-begabte Menschen.“ Amir sagte: „Stimmt, aber der Chemielehrer ist von Beruf Biologe und kein Chemiker.“ An dieser Stelle beenden wir die sinnlose Diskussion und fangen an richtig zu arbeiten.

Das Intranet der Schule ist wie das Internet, beide basieren auf ein Typo3-Template. Nur für Intranet- Dateien wurde ein TYPO3-Extention namens "naw_securedl" installiert, mit dessen Hilfe interne Dateien und Daten nur innerhalb der Schule sichtbar sein sollten. Wir schauten in GOOGLE nach Informationen über solche TYPO3-Extentions und fanden heraus, dass es in der Tat eins gibt und von vielen Menschen zur Erstellung eines Pseudointranets genutzt wird.

Bei der Googel-Suche gab es für die zwei Worte „tx_nawsecuredl medizin“ Ungefähr 30.800 Treffer in weniger als 0,25 Sekunden. Darunter auch Ergebnisse aus dem „Pseudo-Intranet“ großer Unternehmen aber auch aus dem sogenannten „Intranet“ einer großen Universitätsklinik.
(s. Abb. 1; Video A und B - stehen leider nicht jedem Besucher zur Verfügung)

Abb. 1
Vedio A
Video B

Auch die Hashfunktion, die das ganze sehr verlangsamt, schützt nicht vor neugierigen Blicke in die Intimsphäre des Erfinders dieser Art "Intranet" in der Medizinischen Hochschule Hannover. (Interne Dateien mit Hash-Funktion sind im Internet sichtbar, wenn man raus bekommt, wie TYPO3 sie "hasht" - Beispiele stehen leider nicht jedem Besucher zur Verfügung)

Mein junger Freund schaute mich an und fragte: „Sind wir jetzt Hackers?“ Ich sagte ihm: „Stell Dir vor, der arbeitslose Biologe in Eurer Schule ziehe sich nackt aus, stelle sich mitten in der Lobby zur Show und alle Schülerinnen und Schüler schauen ihm zu. Sind die Schülerinnen und Schüler deshalb Spanner?“ Er lachte und sagte: „Nein, aber der „ nackte“ Biologe ist ein Spinner.“

Bei einer Recherche im Internet und den Webseiten der MHH, haben wir heraus gefunden, dass es außer mehreren Hausmeistern eine IT-Abteilung mit mehr als 130 MitarbeiterInnen, eine Abteilung mit der Bezeichnung „Digitale Medien“, ein Webmasterteam mit mehr als 3 Beschäftigten mit mehr als 200 Tausend EURO Arbeitsplatzkosten im Jahr und mehrere Fremdfirmen in der Betreuung und Entwicklung des Internet/Intranet beteiligt sind. (Die Trikskiste der schuldenmacher ist voller Überraschungen)

Wenn man seit 6 Jahren einen PC auf seinem Schreibtisch hat und den Unterschied zwischen Inter- und Intranet immer noch nicht verstehen konnte, dann liegt es nicht unbedingt am PC.
Herr Biologe!!!, der Unterschied zwischen Internet und Intranet ist immer noch Größer als der Unterschied zwischen Äpfel und Glühbirnen.

Was ist Firewall?

Bei Firewall-Systemen handelt es sich um eine Software und/oder einen eigenen Server, der zwischen internem Netz (Intranet) und Internet positioniert ist. Er prüft den Zugriff vom Intranet auf das Internet und umgekehrt. Versuchen Hacker auf das interne Netz zuzugreifen, werden sie vom Firewall-System abgewiesen.

Damit soll sichergestellt werden,

• dass von außen, d.h. dem Internet, kein unberechtigter Zugang beispielsweise eines Hackers auf das Intranet oder auf die auf internen Rechnern gespeicherten Daten erfolgt;
• dass keine Mails oder Dateien in das Intranet gelangen, die möglicherweise Viren enthalten - so kann beispielsweise durch Firewalls das Verschicken und Empfangen von Attachements und/oder ausführbaren Programmen verhindert werden;
• dass keine Zugriffe aus dem Intranet auf das Internet erfolgen, die nicht gewünscht bzw. erlaubt sind. So lässt sich z.B. der Zugriff zu bestimmten Webseiten durch Firewalls verhindern.

FAQ: Internet = Intranet?

FAQ: Internet? .. Intranet?

Oft erreichen uns e-Mails mit den Fragen, ob sich der teuer gekaufte Internetauftritt auch als Intranet eigene.
Wir müssen diese Fragen mit „NEIN“ beantworten. Auch wenn der Internetauftritt in manchen Fällen mehr als 50 Tausend Euro gekostet hat, eignet sich dieses teure Paket fürs Intranet nicht.

Hier sind die wichtigsten Fragen und Antworten um das Thema „Intranet“.

Wem darf ich das Intranet anvertrauen?

Die Betreuung, Pflege, Administrationsarbeiten und Entwicklung von Intranet- Applikationen gehören ausschließlich in die Hände von IT-Fachkräften. Wenn Ihre Firmenleitung oder das Personalmanagement Ihres Unternehmens das Intranet Beispielsweiser der Abteilung für Presse- und Öffentlichkeitsarbeit überlassen möchte, dann kann es sich hier nur um eine Wortverwechselung zwischen den beiden Begriffen "Internet" und "Intranet" handeln. So ein Irrtum sollte sofort geklärt werden, bevor es zu katastrophalen Zuständen im Betriebsnetzwerk führen kann. Ein IT-Fachmann erzählte mir von seiner Erfahrung mit dem Pressesprecher eines Großunternehmens, der die Sprachfehler des Webprogrammierers höfflicher Weise ständig korrigierte, in dem er das Wort "Internet" laut sagte, wenn der IT-Fachmannes das Wort "Intranet" erwähnte.

Kann ich meinen Internetauftritt auch als Intranet benutzen?

Auf gar keinen Fall, da Internet und Intranet total verschiede Welten sind. Das einzige, was Internet und Intranet verbindet ist die Netzwerkübertragungsprotokolle (TCP/IP). Intranet-Einsatzgebiete sind in der Regel viel mehr, als nur die Anwendung von Internet-Technologien für die Verbindung zwischen Computeranwendern einem Firmen-Netzwerk. Während die Menge aller Informationen des Internet allen Menschen frei zugänglich sind, hat das Intranet eines Unternehmens für eine geschlossene Gemeinschafft u. a. folgende Eigenschafften und Funktionen:

• Die Menge der Informationen im Intranet ist wesentlich größer als bei einem Internet-Auftritt.
• In einem Intranet müssen Informationen personalisiert zur Verfügung gestellt werden, da nicht jeder Mitarbeiter auf alle Informationen Zugriff haben soll (Vertraulichkeit von Informationen, Need-to-Know-Prinzip).

Die „Erftkreisbezogene“ Sekundäranalyse einer Umfrage der IHK zu Köln zeigte deutlich, , wie immer mehr IT-Fachkräfte für die Betreuung, Pflege, Administrationsarbeiten und Entwicklung des Intranets gefragter werden.

Akut werden von Erftkreis-Firmen vor allem IT-Fachkräfte mit System- und Program-mierkenntnissen sowie Betriebssystem- und Intranetkompetenzen benötigt; darunter fallen Qualifikationen in Datenbankprogrammierung, Windows2000/NT, Java/Javascript, Oracle, E-Commerce, Netzwerkadministration, Linux und HTML/XML.

Link

Datenschutzerklärung

Anfang 2005 bekam ich den Auftrag, das Internet und das Intranet der Medizinischen Hochschule Hannover zu retten bzw. zu reformieren.

Ich fand ein altes System, in dem Internet und Intranet nur durch eine hauchdünne Schicht SSI-Befehle (Server Side Includes) getrennt sind.

Die Medizinische Hochschule Hannover hat einige Monate später für mehr als 50 Tausend EURO einen neuen Internet-Webauftritt erhalten.

Mehrere Hundert MitarbeiterInnen der MHH bekamen eine Schnellere Schulung als Web-Redakteure in einem Content-Mange-System und haben begonnen, den neuen Webauftritt der MHH mit Beiträgen, Bildern und Texte zu füllen.

Ich habe in meiner Tätigkeit als qualifizierter IT-Fachmann innerhalb des Webmasterteams festgestellt, dass 90% aller Zugriffe auf den Webserver der MHH von MitarbeiterInnen der MHH stammen und habe die Notwendigkeit eines funktionierenden Intranet-Systems signalisiert.

Ich habe den Auftrag bekommen, vor Ende des Jahres 2005 ein Konzept und eine Demoversion für funktionierendes Intranet zu präsentieren. Und ich habe meine Aufgabe erledigt.

2006 übernahm der neue Pressesprecher der MHH Teil der Webmasterteamleitung. Ab dann wusste keiner mehr, wo Internet endet und wo Intranet beginnt.

In diesem Leitungswechselchaos übernahm ein Kollege (Medizingerät Techniker vom Beruf) und seine Gesellin (Kauffrau im Einzelhandel vom Beruf) meine Aufgaben als IT-Fachmann.

Seit Mitte 2006 und bis heute (04.06.2011) hat die MHH bedauerlicher weise kein richtig funktionierendes Intranet-System. Man wollte den teuer gekauften Internetauftritt (> 50.000 €) nicht nur für die schlappen 10% Zugriffsquote auf dem Server verschenken. So entstand ein neu artiges Gebilde, indem Internet und Intranet nur scheinbar getrennt sind.

Jeder Mensch außerhalb der MHH kann auf sensible Daten des Intranets zugreifen. Bis heute ist dieses Sicherheitsproblem ungelöst und jede Diskussion darüber wird abgelehnt.

Die Datenschutzbeauftragten der MHH und des Landes Niedersachsens sollten in diesem Fall bald tätig werden.

Nagy Abd El Malek, Hannover 03.06.2011