Entwendet

Editorial: Alles geknackt!?

Immer wieder machen Meldungen die Runde, dass Hacker millionenfach Internet-Passwörter entwendet haben. Gibt es wirklich keine Sicherheit? Oder können die Nutzer etwas zur Sicherheit ihrer persönlichen Daten tun?
AAA
Teilen (2)

Leider gehen solche Meldungen in schöner Regelmäßigkeit über den Ticker: Cracker haben die Zugangsdaten zu N Millionen Konten bei Onlinedienst X entwendet und bieten diese über einen anonymen Marktplatz zum Kauf an. Aktuelles Opfer dieser Machenschaften sind Yahoo und deren Kunden, aber auch Google, Microsoft, das Business-Netzwerk LinkedIn oder der Online-Händler Amazon und viele, viele weitere waren bereits betroffen.

Für die Kunden bedeutet das: Man kann sich auf keinen Online-Händler oder Online-Dienstleister zu 100 Prozent verlassen. Um zumindest ein Mindestmaß an Sicherheit zu erreichen, sollten Nutzer mehrere Regeln für Passwörter beachten: Diese sollten mindestens 12 Zeichen lang sein, wenn sie per Zufallsgenerator erzeugt wurden, sonst sogar noch länger. Zudem sollte für jeden Online-Händler oder Online-Dienst jeweils ein eigenes Passwort verwendet werden. Und schließlich sollten Passwörter regelmäßig geändert werden, damit, sollte doch mal eines kompromittiert werden, die "bad guys" zumindest nicht beliebig lange Zugriff haben.

Im vorgenannten Absatz steht bei den ganzen Passwort-Regeln wiederholt "sollte" - weil erfahrungsgemäß 99 Prozent der Nutzer sich nicht an diese Regeln halten. Und wer jetzt meint, dass wenigstens die Chefs erfolgreicher IT-Unternehmen zu den 1 Prozent gehören, die stets sichere Passwörter verwenden, sie niemals teilen und regelmäßig aktualisieren, für den hat die Hacker-Gruppe "OurMine Team" aus Saudi-Arabien eine verstörende Nachricht: Durch den LinkedIn-Hack kam heraus, dass Mark Zuckerberg, Gründer von Facebook, (mindestens) seit 2012 bis Mitte 2016 dasselbe simple Passwort "dadada" für LinkedIn, Twitter und Pinterest verwendet hatte. Er also gleich gegen alle drei Regeln auf einmal verstoßen hat.

Auch mit den Mitteln des Strafrechts kommt man dem Passwort-Klau kaum bei. Es versteht sich von selber, dass Identitätsdiebe keine README-Datei auf dem Server hinterlassen: "Ihre Daten wurden entwendet von Name, Vorname, Anschrift, Ort". Selbst in den wenigen Fällen, in denen sich eine IP-Adresse zu dem Computer zurückverfolgen lässt, von dem der Angriff ausging, ist die Wahrschein­lichkeit sehr hoch, dass dieser Computer nicht wirklich dem Täter gehört, sondern von diesem kompromittiert wurde, um dessen Spuren zu verwischen. Und wenn trotz aller Spuren-Verwischerei und Kleinstaaterei bei der Strafverfolgung tatsächlich mal ein Täter erwischt wird, selbst dann stehen die Chancen gut, dass er sich freikaufen kann, indem er seine Dienste dem nationalen Geheimdienst anbietet. Schließlich interessieren sich NSA, CIA, BND, KGB und Co. geradezu brennend für die Inhalte bestimmter E-Mail-Accounts. Fein raus ist, wer die Zugangsdaten dazu hat.

Limitierte, unbequeme Sicherheit

Internet-Passwörter sind nicht sicher -  Oder dochInternet-Passwörter sind nicht sicher. Oder doch? Hinzu kommt, dass es zahlreiche Vektoren für den Angriff auf die Passwort-Datenbank eines Online-Servers gibt. Hierzu gehört nicht nur der klassische Hacker-Angriff von außen unter Ausnutzung von Sicherheitslücken des Servers. Ebenso gibt es den Angriff von innen, dass ein krimineller oder vom Unternehmen enttäuschter Systemverwalter bewusst Daten klaut. Zur Abwendung von jedem dieser Angriffs­szenarien sind unterschiedliche Maßnahmen erforderlich. So gut wie keinem Unternehmen gelingt es, wirklich alle zu implementieren.

Hinzu kommt: Die beiden Ziele "Zuverlässigkeit" und "Sicherheit" lassen sich nur schwer gemeinsam erreichen. Jede zusätzliche Firewall, jedes zusätzliche Intrusion Detection System, jede zusätzliche Systemtrennung etwa von User-, Transaktions- und Login-Datenbank, bringt zwar zusätzliche Sicherheit, aber erhöht zugleich auch die Ausfallgefahr. Versetzt man die Admins in die Lage, nach einer schweren Havarie die Daten schnell auf einem Ersatzsystem aufzuspielen, erhöht das auch die Gefahr, dass sie die Daten schnell mal auf einen eigenen USB-Stick kopieren. Und da Kunden auf Systemausfälle meist erheblich negativer reagieren als auf Meldungen über Sicherheitslücken oder Passwortklau, werden die Online-Unternehmen, vielleicht mit Ausnahme der Banken, auch künftig "Zuverlässigkeit" über "Sicherheit" stellen.

Was bleibt den Kunden übrig? Siehe oben: Wirklich gute, wirklich nicht geteilte und wirklich regelmäßige aktualisierte Passwörter einsetzen. Man wird jedoch nicht umhin kommen, diese Passwörter sich aufzuschreiben oder in einer App auf dem Smartphone zu speichern. Und damit wird dann das Passwort-Verzeichnis zum schwächsten Glied der Kette. Wer es entwendet, hat vollen Zugriff.

Teilen (2)

Weitere Editorials