• IT-Karriere:
  • Services:

IT-Sicherheit: 12 Lehren aus dem Politiker-Hack

Ein polizeibekanntes Skriptkiddie hat offenbar jahrelang unbemerkt Politiker und Prominente ausspähen können und deren Daten veröffentlicht. Welche Konsequenzen sollten für die Sicherheit von Daten aus dem Datenleak gezogen werden?

Eine Analyse von veröffentlicht am
Der Weg zur Erkenntnis ist steil - das gilt besonders für Lehren aus Hacks.
Der Weg zur Erkenntnis ist steil - das gilt besonders für Lehren aus Hacks. (Bild: Public Domain)

Ist es am Ende ein Grund zur Erleichterung, dass nicht russische oder chinesische Staatshacker reihenweise die Accounts deutscher Politiker und Prominenter geknackt haben? Oder eher beunruhigend, dass es selbst einem polizeibekannten 20-jährigen Skriptkiddie gelungen ist, offenbar ohne besondere Werkzeuge und Zero-Day-Exploits die Schutzmechanismen von E-Mail- und Social-Media-Konten zu überwinden, um dann persönliche Daten via Twitter zu veröffentlichen?

Inhalt:
  1. IT-Sicherheit: 12 Lehren aus dem Politiker-Hack
  2. Gehackte Passwörter den Nutzern mitteilen
  3. Hackbacks als 'maximaldümmster Vorschlag'

Zwar sind noch längst nicht alle Hintergründe des Politiker-Hacks geklärt. Doch erste Lehren können durchaus schon gezogen werden. Das ist unabhängig von der Tatsache, ob der Hacker alle Accounts selbst gehackt oder einzelne Passwörter möglicherweise gezielt im Darknet gekauft hat. Passwort-Dumps sind ohnehin problemlos erhältlich.

1. Sensibilisierung alleine reicht nicht

Als Konsequenz aus dem Datenleak will Bundesinnenminister Horst Seehofer (CSU) die Bürger verstärkt für die Gefahren im Netz sensibilisieren. Darüber hinaus soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) auch den Verbraucherschutz im Netz als Aufgabe erhalten. Vom aktuellen Hack waren etliche Nutzer wie der Grünen-Netzpolitiker Konstantin von Notz betroffen, die sicherlich nicht über die Gefahren im Netz aufgeklärt werden müssen. Offenbar ist es dem 20-Jährigen möglich gewesen, eine Zwei-Faktor-Authentifizierung auf Twitter zu umgehen. Das heißt: Selbst wenn Nutzer möglichst hohe Schutzmechanismen einhalten, ist dies keine Gewähr dafür, dass sie von Kriminellen oder anderen Hackern am Ende nicht doch umgangen werden. Nicht nur die Nutzer, auch die Anbieter und deren Sicherungsverfahren sind häufig eine Schwachstelle bei der Datensicherheit. Nutzer müssen leider immer einkalkulieren, dass ihre eigenen Vorsichtsmaßnahmen nicht ausreichen.

Politiker sprachen in den vergangenen Tagen von einem "ersten" und "letzten" Warnschuss. Doch der brutalstmögliche Warnschuss in Sachen IT-Sicherheit sitzt seit zwei Jahren im Weißen Haus und twittert munter vor sich hin. Vor der Bundestagswahl 2017 hatte die Parteien sogar eine gewisse Panik erfasst, was die Gefahren durch Fake-News, Leaks und Social-Bots betraf. Bis zur Wahl im September 2017 rechneten die Behörden in Deutschland mit ähnlichen Vorfällen wie in den USA und Frankreich. Die Vorsichtsmaßnahmen waren entsprechend hoch.

2. Nicht alle Verpflichtungen wären sinnvoll

Stellenmarkt
  1. Evangelische Landeskirche in Württemberg, Stuttgart
  2. Freie und Hansestadt Hamburg, Behörde für Stadtentwicklung und Wohnen, Hamburg

Die von dem Datenleak betroffenen Grünen-Politiker Konstantin von Notz und Malte Spitz fordern als Konsequenz eine verpflichtende Zwei-Faktor-Authentifizierung und starke Passwort-Vorgaben bei der Nutzung von Online-Diensten. Beide Sicherheitsmechanismen sind sinnvoll, auch wenn sie wie oben bereits erwähnt offensichtlich keine Garantie bieten, dass Accounts nicht übernommen werden können.

Eine generelle Verpflichtung würde jedoch über das Ziel hinausschießen. Denn nicht hinter jedem Account stecken wichtige Daten, die mit hohem Aufwand geschützt werden müssen. Zudem bedeutet ein zusätzlicher Faktor häufig, dass beispielsweise eine Telefonnummer angegeben werden muss. Doch damit steigt wiederum die Gefahr, dass personenbezogene Daten missbraucht werden. SMS lassen sich zudem mit Hilfe von IMSI-Catchern mitlesen. Überlegenswert wäre hingegen eine Verpflichtung für Anbieter, einen zweiten Faktor wie Security-Token zumindest als Option bereitzustellen.

Sinnvoll ist auf jeden Fall die Pflicht für sichere Passwörter. Dies sieht beispielsweise auch die neue Richtlinie für Heimrouter vor, die vom BSI im November 2018 veröffentlicht wurde. Was für den heimischen Router gilt, sollte auch für andere Dienste im Netz kein Problem sein. Eine aktuelle Analyse von Spiegel Online zeigt, dass Anbieter wie GMX, Web.de oder T-Online weder starke Passwörter verlangen noch einen zweiten Login-Faktor ermöglichen.

Zwar ist bei Anbietern wie Mailbox.org schon seit längerem eine Zwei-Faktor-Authentifzierung möglich, dann ist der Zugriff auf die E-Mails via Imap oder Pop3 aber nicht mehr möglich. Daher wäre es sinnvoll, Imap mit einem zweiten Faktor aufzurüsten. Der Twitter-Account des Youtubers Unge konnte wohl auch deshalb übernommen werden, weil das damit verbundene Gmail-Konto nicht durch einen zweiten Faktor gesichert war. Immerhin gibt es bei Google-Konten die Möglichkeit, für bestimmte Anwendungen eigene Passwörter generieren zu lassen und diese auch für Mail-Clients wie Outlook oder Thunderbird zu nutzen.

3. Dienste genauer auswählen

Die veröffentlichten Daten haben gezeigt, dass private Kommunikation inzwischen auf sehr vielen verschiedenen Kanälen verläuft. Viele nutzen nicht nur einen einzelnen Messengerdienst wie Whatsapp, Signal oder Threema, sondern auch die Möglichkeiten von Diensten wie Twitter oder Facebook. Je mehr Dienste genutzt werden, desto größer ist das Risiko, dass bei einem Hack eines Dienste auch private Kommunikation bekannt wird.

Denn der Hack hat auch gezeigt: Man sollte sich nicht nur darauf verlassen, dass durch technische Maßnahmen ein Zugang zu einem bestimmten Konto verhindert werden kann. Man sollte auch überlegen, was ein Hacker vorfindet, wenn er sich dennoch Zugriff verschafft.

4. Altlasten beseitigen

In den gut 25 Jahren seit Bestehen des Internets haben aktive Nutzer viele verschiedene Dienste in Anspruch genommen. Auch wenn manche Dienste, wie beispielsweise AOL, von vielen inzwischen nicht mehr genutzt werden, sind dort möglicherweise noch persönliche Daten gespeichert. Daher kann es sinnvoll sein, solche alten Konten zu deaktivieren und die darauf gespeicherten Daten zu löschen. So wurden Anbieter wie Myspace, AOL und Yahoo in den vergangenen Jahren gehackt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Gehackte Passwörter den Nutzern mitteilen 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Spiele-Angebote
  1. 6,49€
  2. 4,15€
  3. (-40%) 32,99€
  4. 4,32€

divus 18. Jan 2019

Haveibeenpwnd.com bietet seit Kurzem auch die Möglichkeit nach Passwörtern zu suchen. Ob...

Kommentator2019 15. Jan 2019

https://threema.ch/de/faq

ElMario 14. Jan 2019

Die Medien sind da aber anderer Meinung... x'D Also wird das Volk auch anderer Meinung...

Trollversteher 13. Jan 2019

Ich hatte vor allem ein Problem mit den "Politbonzen" bzw. dem üblichen "Eliten"-Unsinn...

ibsi 11. Jan 2019

Das es andere Dienste gibt, geschenkt, einen aus Deiner Liste benutze ich auch. Aber ist...


Folgen Sie uns
       


Minikonsolen im Vergleich - Golem retro

Retro-Faktor, Steuerung, Emulationsqualität: Wir haben sieben Minikonsolen miteinander verglichen.

Minikonsolen im Vergleich - Golem retro Video aufrufen
Ryzen Mobile 4000 (Renoir): Lasst die Ära der schrottigen AMD-Notebooks enden!
Ryzen Mobile 4000 (Renoir)
Lasst die Ära der schrottigen AMD-Notebooks enden!

Seit vielen Jahren gibt es kaum Premium-Geräte mit AMD-Chips und selbst bei vermeintlich identischer Ausstattung fehlen Eigenschaften wie eine beleuchtete Tastatur oder Thunderbolt 3. Schluss damit!
Ein IMHO von Marc Sauter

  1. HEDT-Prozessor 64-kerniger Threadripper schlägt 20.000-Dollar-Xeons
  2. Ryzen Mobile 4000 AMDs Renoir hat acht 7-nm-Kerne für Ultrabooks
  3. Zen+ AMD verkauft Ryzen 5 1600 mit flotteren CPU-Kernen

Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

Kailh-Box-Switches im Test: Besser und lauter geht ein klickender Switch kaum
Kailh-Box-Switches im Test
Besser und lauter geht ein klickender Switch kaum

Wer klickende Tastatur-Switches mag, wird die dunkelblauen Kailh-Box-Schalter lieben: Eine eingebaute Stahlfeder sorgt für zwei satte Klicks pro Anschlag. Im Test merken unsere Finger aber schnell den hohen taktilen Widerstand.
Ein Test von Tobias Költzsch

  1. Charachorder Schneller tippen als die Tastatur erlaubt
  2. Brydge+ iPad-Tastatur mit Multi-Touch-Trackpad
  3. Apex Pro im Test Tastatur für glückliche Gamer und Vielschreiber

    •  /