Hacks 2011: Im vergangenen Jahr noch das Passwort gewechselt?
Wenn das Jahr 2011 eines bewiesen hat, dann, dass Daten im Internet nicht sicher sind. Teils katastrophale Sicherheitslücken haben Millionen von Anwendern in Gefahr gebracht. Dabei sind es nicht einmal die kleinen Unternehmen, sondern gerade die großen, die auffielen. Viele Internetnutzer waren gezwungen, ihre Passwörter zu ändern oder sogar die ganze Passwortstrategie.
Schon immer war es eine schlechte Idee, ein einziges Passwort für mehrere Dienste zu wählen. Wer vom Sony-Hack erwischt wurde, muss davon ausgehen, dass irgend jemand da draußen sein Passwort besitzt und bei der hinterlegten E-Mail-Adresse des Sony-Accounts ausprobiert. Damit kommt er vielleicht an gespeicherte E-Mails heran, kann nachvollziehen, wo das Opfer noch Konten hat, und allerhand Unfug anstellen.
Die Sony-Hacks gehörten 2011 zu jenen Servereinbrüchen, die niemals hätten möglich sein dürfen. Hackern gelang es unter anderem im April, in die Server von Sony einzudringen und dort Zugriff auf die Daten zu erlangen. Dadurch wurden die Passwörter des Playstation-Networks kompromittiert. Viele der 77 Millionen Anwender, die vom PSN-Hack betroffen waren, arbeiten vermutlich an vielen Stellen mit demselben Passwort. Die Sony-Dienste wurden sogar mehrmals gehackt. Nach dem ersten Hack mit rund 77 Millionen Betroffenen wurde beispielsweise im Oktober 2011 noch ein Angriff auf Sony-Netzwerke durchgeführt , der immerhin 93.000 Nutzer betraf. Passwörter wurden gestohlen und vielleicht sogar Kreditkartennummern.
Es folgte eine beispiellose Aufdeckung von weiteren Sicherheitsproblemen bei zahlreichen anderen Firmen, die online aktiv sind. Vor allem die Cracker der Lulzsec-Gruppe sind mit fragwürdigen Methoden vorgegangen. Während Hacker einer Ethik folgen, hat die Crackertruppe Lulzsec mitunter die Nutzerdaten einfach veröffentlicht, um eigene Ziele zu verfolgen. Unter anderem hat Lulzsec die Nutzer einer Pornoseite bloßgestellt und damit für die Sicherheitsprobleme des Pornoanbieters bestraft.
Schwache Passwörter sind nach wie vor beliebt
Durch die Hacks wurde erneut die Naivität mancher Nutzer aufgedeckt. Denn so sind auch Listen besonders beliebter Passwörter aufgetaucht. Dass 123456 kein sicheres Passwort ist, sollte jedem einleuchten, es wird dennoch sehr häufig benutzt, genau wie andere simple Passwörter .
Die Angreifer, die diese Schwachstelle in einem texanischen Wasserwerk nutzten, bezeichneten ihren Angriff nicht als Hack, sondern sprachen nur von der Dummheit des Betreibers. Diese Wasserwerkschwachstelle ist übrigens nicht mit dem zunächst vermuteten Hack eines Wasserwerks in Illinois zu verwechseln. In diesem Fall stellte sich heraus , dass sich ein Geschäftspartner, der in Russland unterwegs war, auf zulässige Art und Weise aus der Ferne beim System angemeldet hatte.
Angriffe auf die Sicherheitsinfrastruktur des Internets
Neben Einbrüchen in Server von ganz normalen Internetdiensten, gab es im vergangenen Jahr noch eine besorgniserregende Art von Einbrüchen, die als hoch professionell angesehen werden kann. Hacker nahmen sich die sogenannten Certificate Authorities vor, Unternehmen, die SSL-Zertifikate ausstellen, die Grundlage der sicheren Kommunikation über das Internet. Dabei wird häufig ein politischer Hintergrund vermutet. Der Diginotar-Vorfall hat 2011 vielen gezeigt, wie empfindlich die Sicherheitsinfrastruktur sein kann. Von Hackern wurden einfach gefälschte Zertifikate für Google.com ausgestellt, die dann benutzt wurden, um auch SSL-geschützte Kommunikation abhören zu können, in dem Fall anscheinend iranische Internetnutzer mit Google-Konten.
Der Hack von Diginotar war die Grundlage dafür, Man-in-the-Middle-Attacken auf Nutzer durchzuführen. Dank der Zertifikate konnte die Kommunikation mitgehört werden. Aufgefallen ist der Hack erst mehrere Monate später durch eine Sicherheitsfunktion in Google Chrome. Der Browser überprüft zusätzlich, ob ein gültiges Zertifikat überhaupt möglich ist.
Gehackte Zertifikate haben das Potenzial, fast die gesamte Internetbevölkerung zu betreffen. Insbesondere, wenn es jemand schafft, ein Zertifikat für google.com zu erstellen. Die Regierung der Niederlande wurde dabei besonders hart getroffen, setzte sie doch auf Diginotar-Zertifikate. Da die Niederlande, wie auch viele große Softwarekonzerne, Diginotar komplett das Vertrauen entzogen haben, wurde praktisch ein Teil des E-Governments außer Betrieb gesetzt .
Der Anbieter ist insolvent, der Schaden bleibt
Mit der Insolvenz der Zertifizierungsstelle Diginotar wurde zumindest dieses SSL-Desaster beendet – für einige Nutzer eine gewisse Genugtuung. Der angerichtete Schaden war allerdings nicht wieder gutzumachen, denn einem gehackten politischen Aktivisten hilft die Insolvenz des Verursachers nicht.
Diginotar war nicht der einzige SSL-Zertifikatsanbieter, der ins Visier von Kriminellen geriet. Auch diverse Comodo-Partner wurden angegriffen .
Die folgende – unvollständige – Liste soll verdeutlichen, welcher Schaden in diesem Jahr entstanden ist. Die Zahlen zeigen, wie viele Nutzer vom jeweiligen Hack potenziell betroffen waren, sofern bekannt. Nicht immer wurden kritische Daten gestohlen. Manche Einbrüche sind vergleichsweise harmlos. Mitunter hatten die Hacks aber unangenehme finanzielle Konsequenzen für den jeweiligen Konzern. Dem Hack bei der Firma RSA folgte beispielsweise ein Austausch der Hardware. 40 Millionen SecurID-Tokens für die USB-Schnittstelle mussten ausgewechselt werden. Diese Tokens sind in vielen Firmen, aber auch in staatlichen Stellen die Grundlage zur Absicherung von kritischen Daten vor unbefugtem Zugriff.
- Sony-Playstation-Network- und Qriocity-Hack (77 Millionen Nutzer)
- RSA SecurID (40 Millionen Nutzer)
- Cyworld (35 Millionen Nutzer, vorwiegend aus Südkorea)
- Sony Online Entertainment (24,6 Millionen Nutzer)
- MMO Maple Story (13,2 Millionen Datensätze inklusive Versicherungsnummern)
- Sega Pass Online (1,3 Millionen Nutzer)
- Sony Pictures (1 Million Nutzer)
- Citigroup-Einbruch (360.000 Nutzer, 2,7 Millionen US-Dollar Schaden bei 3.400 Kreditkartenbesitzern)
- Bethesda Softworks (200.000 Nutzer)
- Schlecker (150.000 Nutzer)
- Sony Playstation Network (60.000 Nutzer)
- Sony Entertainment Network (33.000 Nutzer)
- Hack einer Sexwebseite (26.000 Nutzer)
- Bioware-Hack (18.000 Nutzer)
- Distribute.IT-Angriff (Verlust von knapp 5.000 Webseiten inklusive der Backups)
- BuyVIP-Hack in Deutschland (unbekannt, 6 Millionen Kunden)
- Codemasters (unbekannt)
- Epic Games (alle Forenzugänge)
- Einbruch bei Kernel.org (zahlreiche Entwickler)
- WineHQ-Einbruch (alle Nutzer)
- Linux-Foundation-Einbruch (alle Nutzer)
- Nokia-Entwicklerforum (offiziell zwischen 'nur eine kleine Zahl' und eine 'deutlich größere Zahl')
- Gema-Hack (internes Netzwerk kompromittiert)
- DHL-Packstationen (unbekannt, Phishing-Angriff auf Nutzer)
- Amnesty-International-Hack (unbekannte Anzahl von Besuchern der Webseite)
Aus diesen Zahlen lässt sich vor allem eins schließen: Wer zu lax mit seinen Passwörtern umgeht, sollte seine Sicherheitsstrategie im Netz überdenken und sich immer vor Augen führen, dass ihn ein Hack jederzeit treffen kann. Vor hoch professionellen Angriffen wird ihn allerdings auch ein sicheres Passwort nicht unbedingt schützen. Werden Teile der Sicherheitsinfrastruktur gefälscht, lässt sich ein Internetnutzer leicht angreifen.
Hacker warnen bereits vor weiteren Angriffen . Dementsprechend sollten Nutzer auch sogenannte Datenhygiene betreiben, also darauf achten, nur notwendige Daten online zu haben. Der nächste Hack kommt bestimmt.