Editorial

Passwort-Klau - und wie wenig das BSI dagegen machen kann

Wichtig ist die richtige Reaktion des Nutzers - und zwar (fast) unabhängig davon, ob das BSI die eigene E-Mail-Adresse als sauber oder kompromittiert eingestuft hat.

Der BSI-Sicherheitscheck Der BSI-Sicherheitscheck
Foto: dpa
21 Millionen Datensätze, jeweils mit E-Mail-Adresse und Passwort, hat die Staatsanwaltschaft Verden (Aller) sichergestellt und dem Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) zur Prüfung übermittelt. Nach Bereinigung verbleiben noch 18 Millionen Datensätze; drei Millionen davon gehören zu den großen deutschen Mail-Providern (Deutsche Telekom, Freenet, GMX, Kabel Deutschland und web.de). Deren Kunden sollen wohl per E-Mail vom Provider gewarnt werden, wenn ihre E-Mail-Adresse in der Liste steht. Alle anderen müssen ihr Account auf sicherheitstest.bsi.de [Link entfernt] selber abfragen. Weitere Details finden Sie in unserer Meldung.

Zunächst einmal muss man dem BSI danken, dass es die genannte Abfragemöglichkeit geschaffen hat und per Pressemeldung ein Bewusstsein dafür schafft, wie viele Accounts regelmäßig gehackt werden! Doch leider ist die genannte Abfragemöglichkeit von geringem Wert, denn selbst, wenn ein Nutzer erfährt, dass seine E-Mail-Adresse auf der Liste steht, heißt das noch lange nicht, dass ihm Gefahr droht. Umgekehrt dürfen sich auch Nutzer, die nicht auf der Liste stehen, mitnichten in Sicherheit wiegen! Am Ende bringt die Abfragemöglichkeit wenig Nutzen; sie gibt eher Auskunft darüber, wie lange ein Nutzer schon im Internet aktiv ist und wie weit er dabei gekommen ist, als, ob seine Passwörter gut oder schlecht sind und seine Identität im Internet bedroht oder sicher ist.

Je mehr Aktivität im Internet, desto größer die Gefahr

Der BSI-Sicherheitscheck Der BSI-Sicherheitscheck
Foto: dpa
Bei Abfragen an das BSI-Formular stellte sich jedenfalls heraus, dass auch Accounts von mehreren teltarif-Mitarbeitern in der E-Mail-Liste sind. Das war zu erwarten gewesen - angesichts der hohen Zahlen an Einträgen ist klar, dass ein erheblicher Teil der Bevölkerung betroffen ist. Zudem gilt: Je mehr ein Nutzer im Internet unterwegs ist, und sich hier mal bei einem Forum und dort mal bei einem Dienst anmeldet, oder je öfters man auch bei kleinen, unbekannten Shops Waren bestellt, desto größer ist die Gefahr, dass eines dieser Accounts später von einem Angreifer geknackt wird.

Denn je kleiner der Shop oder das Forum, desto schlechter ist im Zweifelsfall die Administration, und desto länger bleiben Sicherheitslücken offen, über die sich Cracker Zugang verschaffen und die Userdatei raubkopieren können (hier passt der Begriff, weil dem Website-Betreiber wirklich etwas mit virtueller Gewalt entwendet wird, nämlich die Einzigartigkeit seiner Kundenbeziehungen). Selbst, wenn die Passwörter verschlüsselt als Hash-Wert gespeichert sind, was die Regel auch bei weniger gut administrierten Sites ist: Die "Bad Guys" kontrollieren ein Heer von Abertausenden (wenn nicht gar ebenfalls Millionen) mit Trojanern infizierten Nutzer-PCs und Laptops, und setzen diese unter anderem dazu ein, um alle nur erdenklichen Buchstabenkombinationen als Passwörter durchzuprobieren. In Summe können so zig Milliarden Passwort-Kombinationen pro Sekunde ausprobiert werden. In der Folge ist es nicht ungewöhnlich, wenn schon wenige Wochen nach dem Entwenden einer Passwort-Datei die Mehrzahl der darin enthaltenen Passwort-Hashes geknackt worden ist!

Wo war das Leck?

Wer sich in seinem "Internet-Leben" also bereits auf 100 Sites angemeldet hat, und nun "BSI-positiv" getestet wurde, weiß nun nicht, wo das Leck ist. Vielleicht ist nur ein kleines Online-Forum betroffen, in dem der User sich damals als "Erika Mustermann" angemeldet und auch sonst keine persönlichen Daten hinterlassen hatte, und dann ein paar Beiträge gepostet hat. Die Gefahrenlage: Der Angreifer könnte nun im Namen des Nutzers weitere Beiträge in ebendiesem Forum posten. Da sich der Nutzer in diesem Forum aber nie so etwas wie eine Reputation für seinen Alias-Namen aufgebaut hat, kann diese durch Fake-Postings auch nicht zerstört werden.

Wurde dasselbe Passwort aber nicht nur für das zitierte Forum verwendet, sondern auch für Paypal und das E-Mail-Account selber, steigt das Bedrohungspotenzial schlagartig erheblich an: Angreifer können dann auf Kosten des Nutzers online shoppen, dessen E-Mail mitlesen oder gar betrügerische E-Mails in dessen Namen versenden.

Wer die genannte Bestätigung vom BSI bekommt, dass sein E-Mail-Account auf der Liste steht, tappt also weiterhin im Dunkeln bezüglich der Frage, wie viel Zugriff die Internet-Bösewichter haben. Da das BSI das enttarnte Passwort nicht mitschickt, noch nicht einmal einen Hinweis darauf (z.B. "Das enttarnte Passwort ist acht Buchstaben lang und es kommt darin ein 'X' und ein 'u' vor"), weiß der Nutzer nicht, welcher seiner möglicherweise vielen Accounts enttarnt wurde. Wahrscheinlich wurde nur ein relativ unwichtiger Account gehackt. Garantiert ist das aber nicht.

Umgekehrt darf sich ein Nutzer, dessen E-Mail-Adresse nicht auf der BSI-Liste steht, auch nicht in Sicherheit wiegen: Nur, dass die deutschen Behörden das eigene Passwort noch bei keinem Internetbetrüger sichergestellt haben, heißt ja noch lange nicht, dass es nicht doch schon in den Kreisen der Betrüger zirkuliert. Im Zweifelsfall sind die Täter immer einen Schritt voraus; die Ermittlungsbehörden sammeln nur die Spuren auf, die die Täter liegen lassen.

Handlungsbedarf für die Mehrheit der Internet-Nutzer

Wer bisher die Angewohnheit hatte, sich mit demselben Passwort bei unterschiedlichen Sites anzumelden, sollte umgehend handeln und bei allen Sites neue und vor allem unterschiedliche Passwörter einstellen. Denn andernfalls riskiert er oder sie, dass durch ein kompromittiertes Passwort ein Täter Zugang zu allen verwendeten Accounts bekommt! Die große Zahl an gehackten Accounts zeigt, wie real die Bedrohung ist. Da sich niemand hunderte Passwörter merken kann, zumal, wenn viele davon nur alle paar Monate oder gar Jahre überhaupt benutzt werden, werden die meisten nicht umhin können, sich eine Passwortliste in einer Datei (am besten verschlüsselt, zum Beispiel mit einem Passwort-Manager) oder auf einem Blatt Papier anzulegen. Auch an ein regelmäßiges Backup der Liste sollte man denken - andernfalls droht bei einem Gerätedefekt oder dem Verlust der Liste das digitale "Ausgeschlossensein": Dann hat niemand mehr Zugang, auch man selber nicht.

Der zweite - schwierigere - Schritt ist, unbenötigte Accounts dauerhaft stillzulegen. Auch hier hilft die Passwortliste weiter, die unnötigen Accounts zu lokalisieren. Aber gerade bei verwaisten Sites, wo die Diebstahlgefahr für die Zugangsdaten am größten ist, erreicht man leider oft keinen Ansprechpartner mehr, den man um Löschung bitten könnte. Automatisierte "Account-löschen"-Buttons bieten nur die wenigsten Betreiber an. Um so wichtiger ist Schritt 1 - keine Passwörter doppelt verwenden.

Während Schritt 1 und Schritt 2 als Vorsichtsmaßnahme für alle Nutzer sinnvoll sind, betrifft der folgende Schritt 3 vor allem die Nutzer, die vom BSI informiert worden sind, dass ihr Name auf der Liste steht: Diese Nutzer sollten zumindest für die wichtigsten Accounts (Zahlungsdienstleister, E-Mail-Provider und andere Kommunikationsplattformen wie Facebook, Twitter oder Google Plus, stark genutzte Foren, regelmäßig genutzte Shops etc.) ihre Zugangsdaten ändern, auch dann, wenn diese bisher jeweils nur für eine Plattform genutzt wurden. Generell wird ein regelmäßiger Passwortwechsel als Vorsichtsmaßnahme empfohlen - auch der Schritt 3 betrifft also grundsätzlich alle Internet-Nutzer. Am Ende kann man sich die BSI-Abfrage also sparen, und von vornherein alle drei Schritte abarbeiten: Doppelte Passwörter ändern, unbenötigte Accounts stilllegen, und die wichtigsten Passwörter regelmäßig austauschen.

Weitere Editorials