Abo
  • Services:

IT-Sicherheit: 12 Lehren aus dem Politiker-Hack

Ein polizeibekanntes Skriptkiddie hat offenbar jahrelang unbemerkt Politiker und Prominente ausspähen können und deren Daten veröffentlicht. Welche Konsequenzen sollten für die Sicherheit von Daten aus dem Datenleak gezogen werden?

Eine Analyse von veröffentlicht am
Der Weg zur Erkenntnis ist steil - das gilt besonders für Lehren aus Hacks.
Der Weg zur Erkenntnis ist steil - das gilt besonders für Lehren aus Hacks. (Bild: Public Domain)

Ist es am Ende ein Grund zur Erleichterung, dass nicht russische oder chinesische Staatshacker reihenweise die Accounts deutscher Politiker und Prominenter geknackt haben? Oder eher beunruhigend, dass es selbst einem polizeibekannten 20-jährigen Skriptkiddie gelungen ist, offenbar ohne besondere Werkzeuge und Zero-Day-Exploits die Schutzmechanismen von E-Mail- und Social-Media-Konten zu überwinden, um dann persönliche Daten via Twitter zu veröffentlichen?

Inhalt:
  1. IT-Sicherheit: 12 Lehren aus dem Politiker-Hack
  2. Gehackte Passwörter den Nutzern mitteilen
  3. Hackbacks als 'maximaldümmster Vorschlag'

Zwar sind noch längst nicht alle Hintergründe des Politiker-Hacks geklärt. Doch erste Lehren können durchaus schon gezogen werden. Das ist unabhängig von der Tatsache, ob der Hacker alle Accounts selbst gehackt oder einzelne Passwörter möglicherweise gezielt im Darknet gekauft hat. Passwort-Dumps sind ohnehin problemlos erhältlich.

1. Sensibilisierung alleine reicht nicht

Als Konsequenz aus dem Datenleak will Bundesinnenminister Horst Seehofer (CSU) die Bürger verstärkt für die Gefahren im Netz sensibilisieren. Darüber hinaus soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) auch den Verbraucherschutz im Netz als Aufgabe erhalten. Vom aktuellen Hack waren etliche Nutzer wie der Grünen-Netzpolitiker Konstantin von Notz betroffen, die sicherlich nicht über die Gefahren im Netz aufgeklärt werden müssen. Offenbar ist es dem 20-Jährigen möglich gewesen, eine Zwei-Faktor-Authentifizierung auf Twitter zu umgehen. Das heißt: Selbst wenn Nutzer möglichst hohe Schutzmechanismen einhalten, ist dies keine Gewähr dafür, dass sie von Kriminellen oder anderen Hackern am Ende nicht doch umgangen werden. Nicht nur die Nutzer, auch die Anbieter und deren Sicherungsverfahren sind häufig eine Schwachstelle bei der Datensicherheit. Nutzer müssen leider immer einkalkulieren, dass ihre eigenen Vorsichtsmaßnahmen nicht ausreichen.

Politiker sprachen in den vergangenen Tagen von einem "ersten" und "letzten" Warnschuss. Doch der brutalstmögliche Warnschuss in Sachen IT-Sicherheit sitzt seit zwei Jahren im Weißen Haus und twittert munter vor sich hin. Vor der Bundestagswahl 2017 hatte die Parteien sogar eine gewisse Panik erfasst, was die Gefahren durch Fake-News, Leaks und Social-Bots betraf. Bis zur Wahl im September 2017 rechneten die Behörden in Deutschland mit ähnlichen Vorfällen wie in den USA und Frankreich. Die Vorsichtsmaßnahmen waren entsprechend hoch.

2. Nicht alle Verpflichtungen wären sinnvoll

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart
  2. CSL Behring GmbH, Marburg, Hattersheim am Main

Die von dem Datenleak betroffenen Grünen-Politiker Konstantin von Notz und Malte Spitz fordern als Konsequenz eine verpflichtende Zwei-Faktor-Authentifizierung und starke Passwort-Vorgaben bei der Nutzung von Online-Diensten. Beide Sicherheitsmechanismen sind sinnvoll, auch wenn sie wie oben bereits erwähnt offensichtlich keine Garantie bieten, dass Accounts nicht übernommen werden können.

Eine generelle Verpflichtung würde jedoch über das Ziel hinausschießen. Denn nicht hinter jedem Account stecken wichtige Daten, die mit hohem Aufwand geschützt werden müssen. Zudem bedeutet ein zusätzlicher Faktor häufig, dass beispielsweise eine Telefonnummer angegeben werden muss. Doch damit steigt wiederum die Gefahr, dass personenbezogene Daten missbraucht werden. SMS lassen sich zudem mit Hilfe von IMSI-Catchern mitlesen. Überlegenswert wäre hingegen eine Verpflichtung für Anbieter, einen zweiten Faktor wie Security-Token zumindest als Option bereitzustellen.

Sinnvoll ist auf jeden Fall die Pflicht für sichere Passwörter. Dies sieht beispielsweise auch die neue Richtlinie für Heimrouter vor, die vom BSI im November 2018 veröffentlicht wurde. Was für den heimischen Router gilt, sollte auch für andere Dienste im Netz kein Problem sein. Eine aktuelle Analyse von Spiegel Online zeigt, dass Anbieter wie GMX, Web.de oder T-Online weder starke Passwörter verlangen noch einen zweiten Login-Faktor ermöglichen.

Zwar ist bei Anbietern wie Mailbox.org schon seit längerem eine Zwei-Faktor-Authentifzierung möglich, dann ist der Zugriff auf die E-Mails via Imap oder Pop3 aber nicht mehr möglich. Daher wäre es sinnvoll, Imap mit einem zweiten Faktor aufzurüsten. Der Twitter-Account des Youtubers Unge konnte wohl auch deshalb übernommen werden, weil das damit verbundene Gmail-Konto nicht durch einen zweiten Faktor gesichert war. Immerhin gibt es bei Google-Konten die Möglichkeit, für bestimmte Anwendungen eigene Passwörter generieren zu lassen und diese auch für Mail-Clients wie Outlook oder Thunderbird zu nutzen.

3. Dienste genauer auswählen

Die veröffentlichten Daten haben gezeigt, dass private Kommunikation inzwischen auf sehr vielen verschiedenen Kanälen verläuft. Viele nutzen nicht nur einen einzelnen Messengerdienst wie Whatsapp, Signal oder Threema, sondern auch die Möglichkeiten von Diensten wie Twitter oder Facebook. Je mehr Dienste genutzt werden, desto größer ist das Risiko, dass bei einem Hack eines Dienste auch private Kommunikation bekannt wird.

Denn der Hack hat auch gezeigt: Man sollte sich nicht nur darauf verlassen, dass durch technische Maßnahmen ein Zugang zu einem bestimmten Konto verhindert werden kann. Man sollte auch überlegen, was ein Hacker vorfindet, wenn er sich dennoch Zugriff verschafft.

4. Altlasten beseitigen

In den gut 25 Jahren seit Bestehen des Internets haben aktive Nutzer viele verschiedene Dienste in Anspruch genommen. Auch wenn manche Dienste, wie beispielsweise AOL, von vielen inzwischen nicht mehr genutzt werden, sind dort möglicherweise noch persönliche Daten gespeichert. Daher kann es sinnvoll sein, solche alten Konten zu deaktivieren und die darauf gespeicherten Daten zu löschen. So wurden Anbieter wie Myspace, AOL und Yahoo in den vergangenen Jahren gehackt.

Gehackte Passwörter den Nutzern mitteilen 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

divus 18. Jan 2019 / Themenstart

Haveibeenpwnd.com bietet seit Kurzem auch die Möglichkeit nach Passwörtern zu suchen. Ob...

Kommentator2019 15. Jan 2019 / Themenstart

https://threema.ch/de/faq

ElMario 14. Jan 2019 / Themenstart

Die Medien sind da aber anderer Meinung... x'D Also wird das Volk auch anderer Meinung...

Trollversteher 13. Jan 2019 / Themenstart

Ich hatte vor allem ein Problem mit den "Politbonzen" bzw. dem üblichen "Eliten"-Unsinn...

ibsi 11. Jan 2019 / Themenstart

Das es andere Dienste gibt, geschenkt, einen aus Deiner Liste benutze ich auch. Aber ist...

Kommentieren


Folgen Sie uns
       


HP Omen X Emporium 65 Gaming-Fernseher - Hands on

Wir haben uns den übergroßen 144-Hz-Gaming-TV von HP auf der CES 2019 näher angesehen.

HP Omen X Emporium 65 Gaming-Fernseher - Hands on Video aufrufen
Eden ISS: Raumfahrt-Salat für Antarktis-Bewohner
Eden ISS
Raumfahrt-Salat für Antarktis-Bewohner

Wer in der Antarktis überwintert, träumt irgendwann von frischem Grün. Bei der Station Neumayer III hat das DLR vor einem Jahr ein Gewächshaus in einem Container aufgestellt, in dem ein Forscher Salat und Gemüse angebaut hat. Das Projekt war ein Test für künftige Raumfahrtmissionen. Der verlief erfolgreich, aber nicht reibungslos.
Ein Interview von Werner Pluta

  1. Eden ISS DLR will Gewächshaus-Container am Südpol aus Bremen steuern
  2. Eu-Cropis DLR züchtet Tomaten im Weltall
  3. NGT Cargo Der Güterzug der Zukunft fährt 400 km/h

Datenleak: Die Fehler, die 0rbit überführten
Datenleak
Die Fehler, die 0rbit überführten

Er ließ sich bei einem Hack erwischen, vermischte seine Pseudonyme und redete zu viel - Johannes S. hinterließ viele Spuren. Trotzdem brauchte die Polizei offenbar einen Hinweisgeber, um ihn als mutmaßlichen Täter im Politiker-Hack zu überführen.

  1. Datenleak Bundestagsabgeordnete sind Zwei-Faktor-Muffel
  2. Datenleak Telekom und Politiker wollen härtere Strafen für Hacker
  3. Datenleak BSI soll Frühwarnsystem für Hackerangriffe aufbauen

Bright Memory angespielt: Brachialer PC-Shooter aus China
Bright Memory angespielt
Brachialer PC-Shooter aus China

Nur ein Entwickler und lediglich eine Stunde Spielzeit - trotzdem wischt das nur rund 6 Euro teure und ausschließlich für Windows-PC erhältliche Bright Memory mit vielen Vollpreisspielen den Boden. Selbst die vollständig chinesische Sprachausgabe stört fast nicht.

  1. Strange Brigade angespielt Feuergefechte mit Mumien und Monstern

    •  /