Gehackte Passwörter den Nutzern mitteilen

5. Nutzer über Hacks besser informieren

Stellenmarkt
  1. Scrum Master / Agile Coach / Agile Master (w/m/d)
    Method Park by UL, Erlangen
  2. Software-Entwickler (m/w/d) ORACLE - WEB
    Rieker Holding AG, Thayngen
Detailsuche

Über Angebote wie Haveibeenpwnd.com oder den Identitiy-Leak-Checker des Hasso-Plattner-Instituts lässt sich überprüfen, ob ein Account mit einer persönlichen E-Mail-Adresse von einem Hack betroffen ist. Das Problem dabei: Der Nutzer weiß häufig nicht, welcher seiner Accounts kompromittiert ist. Ebenfalls weiß er nicht, ob sein Passwort im Klartext oder als Hash-Wert vorliegt. Zudem werden massenhaft geleakte Passwort-Hashes inzwischen von Hackern angegriffen.

Da aus Sicherheitsgründen empfohlen wird, bei jedem Account ein anderes Passwort zu verwenden, müssten Betroffene konsequenterweise sämtliche Passwörter ändern, wenn ihre Adresse in einer Liste auftaucht. Das ist selbst bei Verwendung eines Passwort-Managers ein sehr hoher Aufwand. Daher sollte es eine praktikable und sichere Möglichkeit für Nutzer geben, das tatsächlich kompromittierte Passwort in Erfahrung zu bringen.

6. Anbieter müssen Nutzerdaten besser schützen

Der Fall des Chatanbieters Knuddels.de hat gezeigt, dass es immer noch Firmen gibt, die die Passwörter ihrer Kunden im Klartext gespeichert haben. Die neuen Bußgeldregelungen der EU-Datenschutz-Grundverordnung sollten bei den Anbietern aber als Mahnung verstanden werden, mehr Vorsicht walten zu lassen. Zwar verhängte der zuständige Datenschützer gegen Knuddels ein verhältnismäßig niedriges Bußgeld, doch je nach wirtschaftlicher Lage könnten in anderen Fällen deutlich höhere Summen als 20.000 Euro fällig werden.

Golem Akademie
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    24.–25. Januar 2022, virtuell
  2. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    14.–16. März 2022, Virtuell
Weitere IT-Trainings

Als Schwachstelle hat sich im aktuellen Fall zudem der Support erwiesen. Denn bei Twitter schaltete man die Extraabsicherung beim Youtuber Unge auf Anfrage des Angreifers - der sich als Kontoinhaber ausgab - einfach aus. Möglicherweise wollten die Servicemitarbeiter bei Twitter kundenfreundlich sein, indem sie auf Drängen des angeblichen Account-Inhabers die Zwei-Faktor-Authentifizierung deaktivierten. Hier scheint unklar, nach welchen Kriterien in einem solchen Fall vorgegangen wird. Offenbar scheint es manchmal leichter, einen Account zu hacken, als einen gehackten Account wieder in seinen Besitz zu bringen.

7. Gefahren bei Passwort-Wiederherstellung reduzieren

Je nach Anbieter gibt es sehr unterschiedliche Möglichkeiten, ein vergessenes Passwort wiederherzustellen. So zeigt Twitter beim Passwort-Reset häufig in verkürzter Form an, welche E-Mail-Adresse damit verknüpft ist. Das kann für einen Hacker schon der erste Einstiegspunkt sein, um eine Adresse zu erraten. Um das zu verhindern, muss in den Einstellungen die Option "Require personal information to reset your password" aktiviert werden. Auch bei Mailanbietern wie GMX wird beispielsweise verkürzt angezeigt, welche andere E-Mail-Adresse für eine Passwort-Wiederherstellung genutzt wird.

Hier können Hacker Verbindungen zwischen einzelnen Accounts herstellen und über einen kompromittierten Account zu einem anderen gelangen. Wer ein und dasselbe Postfach für die Wiederherstellung mehrerer Accounts nutzt, geht ein höheres Risiko ein. Sicherheitsexperten empfehlen, die eigene Standard-E-Mail-Adresse nicht für die Wiederherstellung zu nutzen. E-Mail-Adressen, die öffentlich als Kontaktdaten angegeben werden, sollten erst recht nicht für solche Zwecke genutzt werden. Automatische Weiterleitungen auf einen zentralen Account können ebenfalls problematisch sein.

Gefährlich kann wiederum sein, wenn der Wiederherstellungsaccount lange nicht genutzt und deshalb vom Anbieter gelöscht wird. Dann können Angreifer denselben Account wieder registrieren und erhalten damit Zugriff auf Wiederherstellungsmails.

Gerade bei Prominenten können Wiederherstellungsfragen mitunter leicht erraten werden, wie der Fall des sogenannten Hollywood-Hackers gezeigt hat. Aber auch bei normalen Nutzern gibt es nur wenige gebräuchliche Antworten auf das Lieblingstier.

8. Auch die Daten seiner Freunde schützen

Der aktuelle Politiker-Hack hat gezeigt, dass viele Nutzer offenbar recht sorglos mit den Kontaktdaten ihrer Freunde oder Parteikollegen umgehen. Wer jedoch seine Kontaktlisten mit Diensten wie Facebook synchronisiert, läuft Gefahr, dass diese beim Hack des Accounts ebenfalls abgegriffen werden können. Natürlich ist es unvermeidlich, die Kontaktdaten auf dem eigenen Telefon abzuspeichern. Doch jeder Nutzer sollte vorher genau überlegen, welcher App er den Zugriff auf sein Adressbuch erlaubt. Sehr schnell landen die Daten sonst in der Cloud oder bei einem Anbieter, der sie nicht ausreichend schützt.

9. Doxing stärker als Cyberkriminalität wahrnehmen

Im aktuellen Fall ist der breiteren Öffentlichkeit wohl zum ersten Mal das Thema Doxing bekanntgeworden, also das Veröffentlichen persönlicher Daten mit bösartigen Absichten. Die Bundesregierung hat dazu im vergangenen Dezember noch die Position vertreten, dass es sich bei diesem Phänomen gar nicht um Internetkriminalität handelt. So schrieb die Regierung in einer Antwort auf eine Anfrage der Linke-Fraktion (PDF), ob digitale Gewalt gegen Frauen, wozu häufig auch Doxing zählt, dem Phänomen Cybercrime zuzuordnen sei: "Da es sich bei digitaler Gewalt nicht um Straftaten handelt, die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten, sind sie nicht dem Phänomen Cybercrime im engeren Sinne zuzuordnen." Gegen den Tatverdächtigen wird nun jedoch wegen des Ausspähens von Daten nach Paragraf 202a des Strafgesetzbuchs (StGB) und wegen Datenhehlerei (Paragraf 202d StGB) ermittelt. Das gehört eindeutig zur Cyberkriminalität.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 IT-Sicherheit: 12 Lehren aus dem Politiker-HackHackbacks als 'maximaldümmster Vorschlag' 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


divus 18. Jan 2019

Haveibeenpwnd.com bietet seit Kurzem auch die Möglichkeit nach Passwörtern zu suchen. Ob...

Kommentator2019 15. Jan 2019

https://threema.ch/de/faq

ElMario 14. Jan 2019

Die Medien sind da aber anderer Meinung... x'D Also wird das Volk auch anderer Meinung...

Trollversteher 13. Jan 2019

Ich hatte vor allem ein Problem mit den "Politbonzen" bzw. dem üblichen "Eliten"-Unsinn...

ibsi 11. Jan 2019

Das es andere Dienste gibt, geschenkt, einen aus Deiner Liste benutze ich auch. Aber ist...



Aktuell auf der Startseite von Golem.de
Klage
Paypal friert Konten ein und behält Geld nach 180 Tagen

In einer Sammelklage wird Paypal vorgeworfen, Konten ohne Nennung von Gründen einzufrieren und das Geld nach 180 Tagen zu behalten.

Klage: Paypal friert Konten ein und behält Geld nach 180 Tagen
Artikel
  1. iPhone und Apple Watch: Apples Carkey-Funktion kommt für weitere Autos
    iPhone und Apple Watch
    Apples Carkey-Funktion kommt für weitere Autos

    Apples Carkey-Funktion funktioniert derzeit nur mit BMWs, doch ab Sommer 2022 sollen auch andere Autohersteller aufspringen.

  2. Elektromobilität: Ladesäulen für BP bald profitabler als Tankstellen
    Elektromobilität
    Ladesäulen für BP bald profitabler als Tankstellen

    BP steht kurz davor, dass Schnellladestationen profitabler sind als Tankstellen. Das könnte zusätzliche Investitionen in Ladesäulen bringen.

  3. Malware: Microsoft warnt vor ungewöhnlicher Schadsoftware in Ukraine
    Malware
    Microsoft warnt vor ungewöhnlicher Schadsoftware in Ukraine

    Die Schadsoftware soll sich als Ransomware tarnen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u.a. WD Blue 3D 1TB 79€, be quiet! Straight Power 11 850W 119€ u. PowerColor RX 6600 Hellhound 529€) • Alternate: Weekend-Deals • HyperX Cloud II Wireless 107,19€ • Cooler Master MH752 54,90€ • Gainward RTX 3080 12GB 1.599€ • Saturn-Hits • 3 für 2: Marvel & Star Wars [Werbung]
    •  /