Abo
  • Services:

IT-Sicherheit: 12 Lehren aus dem Politiker-Hack

Ein polizeibekanntes Skriptkiddie hat offenbar jahrelang unbemerkt Politiker und Prominente ausspähen können und deren Daten veröffentlicht. Welche Konsequenzen sollten für die Sicherheit von Daten aus dem Datenleak gezogen werden?

Eine Analyse von veröffentlicht am
Der Weg zur Erkenntnis ist steil - das gilt besonders für Lehren aus Hacks.
Der Weg zur Erkenntnis ist steil - das gilt besonders für Lehren aus Hacks. (Bild: Public Domain)

Ist es am Ende ein Grund zur Erleichterung, dass nicht russische oder chinesische Staatshacker reihenweise die Accounts deutscher Politiker und Prominenter geknackt haben? Oder eher beunruhigend, dass es selbst einem polizeibekannten 20-jährigen Skriptkiddie gelungen ist, offenbar ohne besondere Werkzeuge und Zero-Day-Exploits die Schutzmechanismen von E-Mail- und Social-Media-Konten zu überwinden, um dann persönliche Daten via Twitter zu veröffentlichen?

Inhalt:
  1. IT-Sicherheit: 12 Lehren aus dem Politiker-Hack
  2. Gehackte Passwörter den Nutzern mitteilen
  3. Hackbacks als 'maximaldümmster Vorschlag'

Zwar sind noch längst nicht alle Hintergründe des Politiker-Hacks geklärt. Doch erste Lehren können durchaus schon gezogen werden. Das ist unabhängig von der Tatsache, ob der Hacker alle Accounts selbst gehackt oder einzelne Passwörter möglicherweise gezielt im Darknet gekauft hat. Passwort-Dumps sind ohnehin problemlos erhältlich.

1. Sensibilisierung alleine reicht nicht

Als Konsequenz aus dem Datenleak will Bundesinnenminister Horst Seehofer (CSU) die Bürger verstärkt für die Gefahren im Netz sensibilisieren. Darüber hinaus soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) auch den Verbraucherschutz im Netz als Aufgabe erhalten. Vom aktuellen Hack waren etliche Nutzer wie der Grünen-Netzpolitiker Konstantin von Notz betroffen, die sicherlich nicht über die Gefahren im Netz aufgeklärt werden müssen. Offenbar ist es dem 20-Jährigen möglich gewesen, eine Zwei-Faktor-Authentifizierung auf Twitter zu umgehen. Das heißt: Selbst wenn Nutzer möglichst hohe Schutzmechanismen einhalten, ist dies keine Gewähr dafür, dass sie von Kriminellen oder anderen Hackern am Ende nicht doch umgangen werden. Nicht nur die Nutzer, auch die Anbieter und deren Sicherungsverfahren sind häufig eine Schwachstelle bei der Datensicherheit. Nutzer müssen leider immer einkalkulieren, dass ihre eigenen Vorsichtsmaßnahmen nicht ausreichen.

Politiker sprachen in den vergangenen Tagen von einem "ersten" und "letzten" Warnschuss. Doch der brutalstmögliche Warnschuss in Sachen IT-Sicherheit sitzt seit zwei Jahren im Weißen Haus und twittert munter vor sich hin. Vor der Bundestagswahl 2017 hatte die Parteien sogar eine gewisse Panik erfasst, was die Gefahren durch Fake-News, Leaks und Social-Bots betraf. Bis zur Wahl im September 2017 rechneten die Behörden in Deutschland mit ähnlichen Vorfällen wie in den USA und Frankreich. Die Vorsichtsmaßnahmen waren entsprechend hoch.

2. Nicht alle Verpflichtungen wären sinnvoll

Stellenmarkt
  1. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm
  2. PARI GmbH, Starnberg, Weilheim

Die von dem Datenleak betroffenen Grünen-Politiker Konstantin von Notz und Malte Spitz fordern als Konsequenz eine verpflichtende Zwei-Faktor-Authentifizierung und starke Passwort-Vorgaben bei der Nutzung von Online-Diensten. Beide Sicherheitsmechanismen sind sinnvoll, auch wenn sie wie oben bereits erwähnt offensichtlich keine Garantie bieten, dass Accounts nicht übernommen werden können.

Eine generelle Verpflichtung würde jedoch über das Ziel hinausschießen. Denn nicht hinter jedem Account stecken wichtige Daten, die mit hohem Aufwand geschützt werden müssen. Zudem bedeutet ein zusätzlicher Faktor häufig, dass beispielsweise eine Telefonnummer angegeben werden muss. Doch damit steigt wiederum die Gefahr, dass personenbezogene Daten missbraucht werden. SMS lassen sich zudem mit Hilfe von IMSI-Catchern mitlesen. Überlegenswert wäre hingegen eine Verpflichtung für Anbieter, einen zweiten Faktor wie Security-Token zumindest als Option bereitzustellen.

Sinnvoll ist auf jeden Fall die Pflicht für sichere Passwörter. Dies sieht beispielsweise auch die neue Richtlinie für Heimrouter vor, die vom BSI im November 2018 veröffentlicht wurde. Was für den heimischen Router gilt, sollte auch für andere Dienste im Netz kein Problem sein. Eine aktuelle Analyse von Spiegel Online zeigt, dass Anbieter wie GMX, Web.de oder T-Online weder starke Passwörter verlangen noch einen zweiten Login-Faktor ermöglichen.

Zwar ist bei Anbietern wie Mailbox.org schon seit längerem eine Zwei-Faktor-Authentifzierung möglich, dann ist der Zugriff auf die E-Mails via Imap oder Pop3 aber nicht mehr möglich. Daher wäre es sinnvoll, Imap mit einem zweiten Faktor aufzurüsten. Der Twitter-Account des Youtubers Unge konnte wohl auch deshalb übernommen werden, weil das damit verbundene Gmail-Konto nicht durch einen zweiten Faktor gesichert war. Immerhin gibt es bei Google-Konten die Möglichkeit, für bestimmte Anwendungen eigene Passwörter generieren zu lassen und diese auch für Mail-Clients wie Outlook oder Thunderbird zu nutzen.

3. Dienste genauer auswählen

Die veröffentlichten Daten haben gezeigt, dass private Kommunikation inzwischen auf sehr vielen verschiedenen Kanälen verläuft. Viele nutzen nicht nur einen einzelnen Messengerdienst wie Whatsapp, Signal oder Threema, sondern auch die Möglichkeiten von Diensten wie Twitter oder Facebook. Je mehr Dienste genutzt werden, desto größer ist das Risiko, dass bei einem Hack eines Dienste auch private Kommunikation bekannt wird.

Denn der Hack hat auch gezeigt: Man sollte sich nicht nur darauf verlassen, dass durch technische Maßnahmen ein Zugang zu einem bestimmten Konto verhindert werden kann. Man sollte auch überlegen, was ein Hacker vorfindet, wenn er sich dennoch Zugriff verschafft.

4. Altlasten beseitigen

In den gut 25 Jahren seit Bestehen des Internets haben aktive Nutzer viele verschiedene Dienste in Anspruch genommen. Auch wenn manche Dienste, wie beispielsweise AOL, von vielen inzwischen nicht mehr genutzt werden, sind dort möglicherweise noch persönliche Daten gespeichert. Daher kann es sinnvoll sein, solche alten Konten zu deaktivieren und die darauf gespeicherten Daten zu löschen. So wurden Anbieter wie Myspace, AOL und Yahoo in den vergangenen Jahren gehackt.

Gehackte Passwörter den Nutzern mitteilen 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. 216,50€
  2. (reduzierte Überstände, Restposten & Co.)
  3. 23,99€

divus 18. Jan 2019 / Themenstart

Haveibeenpwnd.com bietet seit Kurzem auch die Möglichkeit nach Passwörtern zu suchen. Ob...

Kommentator2019 15. Jan 2019 / Themenstart

https://threema.ch/de/faq

ElMario 14. Jan 2019 / Themenstart

Die Medien sind da aber anderer Meinung... x'D Also wird das Volk auch anderer Meinung...

Trollversteher 13. Jan 2019 / Themenstart

Ich hatte vor allem ein Problem mit den "Politbonzen" bzw. dem üblichen "Eliten"-Unsinn...

ibsi 11. Jan 2019 / Themenstart

Das es andere Dienste gibt, geschenkt, einen aus Deiner Liste benutze ich auch. Aber ist...

Kommentieren


Folgen Sie uns
       


MTG Arena Ravnica Allegiance - Livestream 2

Im zweiten Teil unseres Livestreams basteln wir ein eigenes neues Deck (dreifarbig!) und ziehen damit in den Kampf.

MTG Arena Ravnica Allegiance - Livestream 2 Video aufrufen
Far Cry New Dawn im Test: Die Apokalypse ist chaotisch, spaßig und hat Pay to Win
Far Cry New Dawn im Test
Die Apokalypse ist chaotisch, spaßig und hat Pay to Win

Grizzly frisst Bandit, Buggy rammt Grizzly: Far Cry New Dawn zeigt eine wunderbar chaotische Postapokalypse, die gerade bei der Geschichte und dem Schwierigkeitsgrad viel besser macht als der Vorgänger. Schade, dass die bunte Welt von Mikrotransaktionen getrübt wird.
Ein Test von Oliver Nickel

  1. Far Cry New Dawn angespielt Das gleiche Chaos im neuen Gewand
  2. New Dawn Ubisoft setzt Far Cry 5 postapokalyptisch fort

Struktrurwandel: IT soll jetzt die Kohle nach Cottbus bringen
Struktrurwandel
IT soll jetzt die Kohle nach Cottbus bringen

In Cottbus wird bald der letzte große Braunkohle-Tagebau zum Badesee. Die ansässige Wirtschaft sucht nach neuen Geldquellen und will die Stadt zu einem wichtigen IT-Standort machen. Richten könnten das die Informatiker der Technischen Uni - die werden aber direkt nach ihrem Abschluss abgeworben.
Von Maja Hoock

  1. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
  2. Recruiting Wenn die KI passende Mitarbeiter findet
  3. Softwareentwicklung Agiles Arbeiten - ein Fallbeispiel

Digitaler Hausfriedensbruch: Bund warnt vor Verschärfung der Hackerparagrafen
Digitaler Hausfriedensbruch
Bund warnt vor Verschärfung der Hackerparagrafen

Ein Jahr Haft für das unbefugte Einschalten eines smarten Fernsehers? Unions-Politiker aus den Bundesländern überbieten sich gerade mit Forderungen, die Strafen für Hacker zu erhöhen und den Ermittlern mehr Befugnisse zu erteilen. Doch da will die Bundesregierung nicht mitmachen.
Von Friedhelm Greis

  1. Runc Sicherheitslücke ermöglicht Übernahme von Container-Host
  2. Security Metasploit 5.0 verbessert Datenbank und Automatisierungs-API
  3. Datenbank Fehler in SQLite ermöglichte Codeausführung

    •  /