Abo
  • IT-Karriere:

Gehackte Passwörter den Nutzern mitteilen

5. Nutzer über Hacks besser informieren

Stellenmarkt
  1. Alfred Kärcher SE & Co. KG, Winnenden bei Stuttgart
  2. VIRAMED BIOTECH AG', Planegg

Über Angebote wie Haveibeenpwnd.com oder den Identitiy-Leak-Checker des Hasso-Plattner-Instituts lässt sich überprüfen, ob ein Account mit einer persönlichen E-Mail-Adresse von einem Hack betroffen ist. Das Problem dabei: Der Nutzer weiß häufig nicht, welcher seiner Accounts kompromittiert ist. Ebenfalls weiß er nicht, ob sein Passwort im Klartext oder als Hash-Wert vorliegt. Zudem werden massenhaft geleakte Passwort-Hashes inzwischen von Hackern angegriffen.

Da aus Sicherheitsgründen empfohlen wird, bei jedem Account ein anderes Passwort zu verwenden, müssten Betroffene konsequenterweise sämtliche Passwörter ändern, wenn ihre Adresse in einer Liste auftaucht. Das ist selbst bei Verwendung eines Passwort-Managers ein sehr hoher Aufwand. Daher sollte es eine praktikable und sichere Möglichkeit für Nutzer geben, das tatsächlich kompromittierte Passwort in Erfahrung zu bringen.

6. Anbieter müssen Nutzerdaten besser schützen

Der Fall des Chatanbieters Knuddels.de hat gezeigt, dass es immer noch Firmen gibt, die die Passwörter ihrer Kunden im Klartext gespeichert haben. Die neuen Bußgeldregelungen der EU-Datenschutz-Grundverordnung sollten bei den Anbietern aber als Mahnung verstanden werden, mehr Vorsicht walten zu lassen. Zwar verhängte der zuständige Datenschützer gegen Knuddels ein verhältnismäßig niedriges Bußgeld, doch je nach wirtschaftlicher Lage könnten in anderen Fällen deutlich höhere Summen als 20.000 Euro fällig werden.

Als Schwachstelle hat sich im aktuellen Fall zudem der Support erwiesen. Denn bei Twitter schaltete man die Extraabsicherung beim Youtuber Unge auf Anfrage des Angreifers - der sich als Kontoinhaber ausgab - einfach aus. Möglicherweise wollten die Servicemitarbeiter bei Twitter kundenfreundlich sein, indem sie auf Drängen des angeblichen Account-Inhabers die Zwei-Faktor-Authentifizierung deaktivierten. Hier scheint unklar, nach welchen Kriterien in einem solchen Fall vorgegangen wird. Offenbar scheint es manchmal leichter, einen Account zu hacken, als einen gehackten Account wieder in seinen Besitz zu bringen.

7. Gefahren bei Passwort-Wiederherstellung reduzieren

Je nach Anbieter gibt es sehr unterschiedliche Möglichkeiten, ein vergessenes Passwort wiederherzustellen. So zeigt Twitter beim Passwort-Reset häufig in verkürzter Form an, welche E-Mail-Adresse damit verknüpft ist. Das kann für einen Hacker schon der erste Einstiegspunkt sein, um eine Adresse zu erraten. Um das zu verhindern, muss in den Einstellungen die Option "Require personal information to reset your password" aktiviert werden. Auch bei Mailanbietern wie GMX wird beispielsweise verkürzt angezeigt, welche andere E-Mail-Adresse für eine Passwort-Wiederherstellung genutzt wird.

Hier können Hacker Verbindungen zwischen einzelnen Accounts herstellen und über einen kompromittierten Account zu einem anderen gelangen. Wer ein und dasselbe Postfach für die Wiederherstellung mehrerer Accounts nutzt, geht ein höheres Risiko ein. Sicherheitsexperten empfehlen, die eigene Standard-E-Mail-Adresse nicht für die Wiederherstellung zu nutzen. E-Mail-Adressen, die öffentlich als Kontaktdaten angegeben werden, sollten erst recht nicht für solche Zwecke genutzt werden. Automatische Weiterleitungen auf einen zentralen Account können ebenfalls problematisch sein.

Gefährlich kann wiederum sein, wenn der Wiederherstellungsaccount lange nicht genutzt und deshalb vom Anbieter gelöscht wird. Dann können Angreifer denselben Account wieder registrieren und erhalten damit Zugriff auf Wiederherstellungsmails.

Gerade bei Prominenten können Wiederherstellungsfragen mitunter leicht erraten werden, wie der Fall des sogenannten Hollywood-Hackers gezeigt hat. Aber auch bei normalen Nutzern gibt es nur wenige gebräuchliche Antworten auf das Lieblingstier.

8. Auch die Daten seiner Freunde schützen

Der aktuelle Politiker-Hack hat gezeigt, dass viele Nutzer offenbar recht sorglos mit den Kontaktdaten ihrer Freunde oder Parteikollegen umgehen. Wer jedoch seine Kontaktlisten mit Diensten wie Facebook synchronisiert, läuft Gefahr, dass diese beim Hack des Accounts ebenfalls abgegriffen werden können. Natürlich ist es unvermeidlich, die Kontaktdaten auf dem eigenen Telefon abzuspeichern. Doch jeder Nutzer sollte vorher genau überlegen, welcher App er den Zugriff auf sein Adressbuch erlaubt. Sehr schnell landen die Daten sonst in der Cloud oder bei einem Anbieter, der sie nicht ausreichend schützt.

9. Doxing stärker als Cyberkriminalität wahrnehmen

Im aktuellen Fall ist der breiteren Öffentlichkeit wohl zum ersten Mal das Thema Doxing bekanntgeworden, also das Veröffentlichen persönlicher Daten mit bösartigen Absichten. Die Bundesregierung hat dazu im vergangenen Dezember noch die Position vertreten, dass es sich bei diesem Phänomen gar nicht um Internetkriminalität handelt. So schrieb die Regierung in einer Antwort auf eine Anfrage der Linke-Fraktion (PDF), ob digitale Gewalt gegen Frauen, wozu häufig auch Doxing zählt, dem Phänomen Cybercrime zuzuordnen sei: "Da es sich bei digitaler Gewalt nicht um Straftaten handelt, die sich gegen das Internet, Datennetze, informationstechnische Systeme oder deren Daten richten, sind sie nicht dem Phänomen Cybercrime im engeren Sinne zuzuordnen." Gegen den Tatverdächtigen wird nun jedoch wegen des Ausspähens von Daten nach Paragraf 202a des Strafgesetzbuchs (StGB) und wegen Datenhehlerei (Paragraf 202d StGB) ermittelt. Das gehört eindeutig zur Cyberkriminalität.

 IT-Sicherheit: 12 Lehren aus dem Politiker-HackHackbacks als 'maximaldümmster Vorschlag' 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Anzeige
Top-Angebote
  1. (u. a. Hitman Goty, God Eater 2 Rage Burst, Tropico 4 Collector's Bundle)
  2. 49,94€
  3. 19,95€
  4. 13,95€

divus 18. Jan 2019

Haveibeenpwnd.com bietet seit Kurzem auch die Möglichkeit nach Passwörtern zu suchen. Ob...

Kommentator2019 15. Jan 2019

https://threema.ch/de/faq

ElMario 14. Jan 2019

Die Medien sind da aber anderer Meinung... x'D Also wird das Volk auch anderer Meinung...

Trollversteher 13. Jan 2019

Ich hatte vor allem ein Problem mit den "Politbonzen" bzw. dem üblichen "Eliten"-Unsinn...

ibsi 11. Jan 2019

Das es andere Dienste gibt, geschenkt, einen aus Deiner Liste benutze ich auch. Aber ist...


Folgen Sie uns
       


Phase One IQ4 ausprobiert

Die Phase One IQ4 ist das Mittelformatsystem mit der höchsten Auflösung, das zur Zeit erhältlich ist. Wir haben die Profikamera getestet.

Phase One IQ4 ausprobiert Video aufrufen
5G-Report: Nicht jedes Land braucht zur Frequenzvergabe Auktionen
5G-Report
Nicht jedes Land braucht zur Frequenzvergabe Auktionen

Die umstrittene Versteigerung von 5G-Frequenzen durch die Bundesnetzagentur ist zu Ende. Die Debatte darüber, wie Funkspektrum verteilt werden soll, geht weiter. Wir haben uns die Praxis in anderen Ländern angeschaut.
Ein Bericht von Stefan Krempl

  1. AT&T Testnutzer in 5G-Netzwerk misst 1,7 GBit/s
  2. Netzausbau Städtebund-Chef will 5G-Antennen auf Kindergärten
  3. SK Telecom Deutsche Telekom will selbst 5G-Ausrüstung entwickeln

5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
5G-Auktion
Warum der Preis der 5G-Frequenzen so hoch war

Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
Eine Analyse von Achim Sawall

  1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
  2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
  3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

Projektmanagement: An der falschen Stelle automatisiert
Projektmanagement
An der falschen Stelle automatisiert

Kommunikationstools und künstliche Intelligenz sollen dabei helfen, dass IT-Projekte besser und schneller fertig werden. Demnächst sollen sie sogar Posten wie den des Projektmanagers überflüssig machen. Doch das wird voraussichtlich nicht passieren.
Ein Erfahrungsbericht von Marvin Engel


      •  /