Abo
  • IT-Karriere:

IT-Sicherheit: 12 Lehren aus dem Politiker-Hack

Ein polizeibekanntes Skriptkiddie hat offenbar jahrelang unbemerkt Politiker und Prominente ausspähen können und deren Daten veröffentlicht. Welche Konsequenzen sollten für die Sicherheit von Daten aus dem Datenleak gezogen werden?

Eine Analyse von veröffentlicht am
Der Weg zur Erkenntnis ist steil - das gilt besonders für Lehren aus Hacks.
Der Weg zur Erkenntnis ist steil - das gilt besonders für Lehren aus Hacks. (Bild: Public Domain)

Ist es am Ende ein Grund zur Erleichterung, dass nicht russische oder chinesische Staatshacker reihenweise die Accounts deutscher Politiker und Prominenter geknackt haben? Oder eher beunruhigend, dass es selbst einem polizeibekannten 20-jährigen Skriptkiddie gelungen ist, offenbar ohne besondere Werkzeuge und Zero-Day-Exploits die Schutzmechanismen von E-Mail- und Social-Media-Konten zu überwinden, um dann persönliche Daten via Twitter zu veröffentlichen?

Inhalt:
  1. IT-Sicherheit: 12 Lehren aus dem Politiker-Hack
  2. Gehackte Passwörter den Nutzern mitteilen
  3. Hackbacks als 'maximaldümmster Vorschlag'

Zwar sind noch längst nicht alle Hintergründe des Politiker-Hacks geklärt. Doch erste Lehren können durchaus schon gezogen werden. Das ist unabhängig von der Tatsache, ob der Hacker alle Accounts selbst gehackt oder einzelne Passwörter möglicherweise gezielt im Darknet gekauft hat. Passwort-Dumps sind ohnehin problemlos erhältlich.

1. Sensibilisierung alleine reicht nicht

Als Konsequenz aus dem Datenleak will Bundesinnenminister Horst Seehofer (CSU) die Bürger verstärkt für die Gefahren im Netz sensibilisieren. Darüber hinaus soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) auch den Verbraucherschutz im Netz als Aufgabe erhalten. Vom aktuellen Hack waren etliche Nutzer wie der Grünen-Netzpolitiker Konstantin von Notz betroffen, die sicherlich nicht über die Gefahren im Netz aufgeklärt werden müssen. Offenbar ist es dem 20-Jährigen möglich gewesen, eine Zwei-Faktor-Authentifizierung auf Twitter zu umgehen. Das heißt: Selbst wenn Nutzer möglichst hohe Schutzmechanismen einhalten, ist dies keine Gewähr dafür, dass sie von Kriminellen oder anderen Hackern am Ende nicht doch umgangen werden. Nicht nur die Nutzer, auch die Anbieter und deren Sicherungsverfahren sind häufig eine Schwachstelle bei der Datensicherheit. Nutzer müssen leider immer einkalkulieren, dass ihre eigenen Vorsichtsmaßnahmen nicht ausreichen.

Politiker sprachen in den vergangenen Tagen von einem "ersten" und "letzten" Warnschuss. Doch der brutalstmögliche Warnschuss in Sachen IT-Sicherheit sitzt seit zwei Jahren im Weißen Haus und twittert munter vor sich hin. Vor der Bundestagswahl 2017 hatte die Parteien sogar eine gewisse Panik erfasst, was die Gefahren durch Fake-News, Leaks und Social-Bots betraf. Bis zur Wahl im September 2017 rechneten die Behörden in Deutschland mit ähnlichen Vorfällen wie in den USA und Frankreich. Die Vorsichtsmaßnahmen waren entsprechend hoch.

2. Nicht alle Verpflichtungen wären sinnvoll

Stellenmarkt
  1. JOB AG Industrial Service GmbH, Nürnberg (Home-Office)
  2. Erwin Hymer Group SE, Bad Waldsee

Die von dem Datenleak betroffenen Grünen-Politiker Konstantin von Notz und Malte Spitz fordern als Konsequenz eine verpflichtende Zwei-Faktor-Authentifizierung und starke Passwort-Vorgaben bei der Nutzung von Online-Diensten. Beide Sicherheitsmechanismen sind sinnvoll, auch wenn sie wie oben bereits erwähnt offensichtlich keine Garantie bieten, dass Accounts nicht übernommen werden können.

Eine generelle Verpflichtung würde jedoch über das Ziel hinausschießen. Denn nicht hinter jedem Account stecken wichtige Daten, die mit hohem Aufwand geschützt werden müssen. Zudem bedeutet ein zusätzlicher Faktor häufig, dass beispielsweise eine Telefonnummer angegeben werden muss. Doch damit steigt wiederum die Gefahr, dass personenbezogene Daten missbraucht werden. SMS lassen sich zudem mit Hilfe von IMSI-Catchern mitlesen. Überlegenswert wäre hingegen eine Verpflichtung für Anbieter, einen zweiten Faktor wie Security-Token zumindest als Option bereitzustellen.

Sinnvoll ist auf jeden Fall die Pflicht für sichere Passwörter. Dies sieht beispielsweise auch die neue Richtlinie für Heimrouter vor, die vom BSI im November 2018 veröffentlicht wurde. Was für den heimischen Router gilt, sollte auch für andere Dienste im Netz kein Problem sein. Eine aktuelle Analyse von Spiegel Online zeigt, dass Anbieter wie GMX, Web.de oder T-Online weder starke Passwörter verlangen noch einen zweiten Login-Faktor ermöglichen.

Zwar ist bei Anbietern wie Mailbox.org schon seit längerem eine Zwei-Faktor-Authentifzierung möglich, dann ist der Zugriff auf die E-Mails via Imap oder Pop3 aber nicht mehr möglich. Daher wäre es sinnvoll, Imap mit einem zweiten Faktor aufzurüsten. Der Twitter-Account des Youtubers Unge konnte wohl auch deshalb übernommen werden, weil das damit verbundene Gmail-Konto nicht durch einen zweiten Faktor gesichert war. Immerhin gibt es bei Google-Konten die Möglichkeit, für bestimmte Anwendungen eigene Passwörter generieren zu lassen und diese auch für Mail-Clients wie Outlook oder Thunderbird zu nutzen.

3. Dienste genauer auswählen

Die veröffentlichten Daten haben gezeigt, dass private Kommunikation inzwischen auf sehr vielen verschiedenen Kanälen verläuft. Viele nutzen nicht nur einen einzelnen Messengerdienst wie Whatsapp, Signal oder Threema, sondern auch die Möglichkeiten von Diensten wie Twitter oder Facebook. Je mehr Dienste genutzt werden, desto größer ist das Risiko, dass bei einem Hack eines Dienste auch private Kommunikation bekannt wird.

Denn der Hack hat auch gezeigt: Man sollte sich nicht nur darauf verlassen, dass durch technische Maßnahmen ein Zugang zu einem bestimmten Konto verhindert werden kann. Man sollte auch überlegen, was ein Hacker vorfindet, wenn er sich dennoch Zugriff verschafft.

4. Altlasten beseitigen

In den gut 25 Jahren seit Bestehen des Internets haben aktive Nutzer viele verschiedene Dienste in Anspruch genommen. Auch wenn manche Dienste, wie beispielsweise AOL, von vielen inzwischen nicht mehr genutzt werden, sind dort möglicherweise noch persönliche Daten gespeichert. Daher kann es sinnvoll sein, solche alten Konten zu deaktivieren und die darauf gespeicherten Daten zu löschen. So wurden Anbieter wie Myspace, AOL und Yahoo in den vergangenen Jahren gehackt.

Gehackte Passwörter den Nutzern mitteilen 
  1. 1
  2. 2
  3. 3
  4.  


Anzeige
Spiele-Angebote
  1. 4,99€
  2. (-44%) 27,99€
  3. 4,99€

divus 18. Jan 2019

Haveibeenpwnd.com bietet seit Kurzem auch die Möglichkeit nach Passwörtern zu suchen. Ob...

Kommentator2019 15. Jan 2019

https://threema.ch/de/faq

ElMario 14. Jan 2019

Die Medien sind da aber anderer Meinung... x'D Also wird das Volk auch anderer Meinung...

Trollversteher 13. Jan 2019

Ich hatte vor allem ein Problem mit den "Politbonzen" bzw. dem üblichen "Eliten"-Unsinn...

ibsi 11. Jan 2019

Das es andere Dienste gibt, geschenkt, einen aus Deiner Liste benutze ich auch. Aber ist...


Folgen Sie uns
       


Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
    5G-Auktion
    Warum der Preis der 5G-Frequenzen so hoch war

    Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
    Eine Analyse von Achim Sawall

    1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
    2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
    3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

    Final Fantasy 7 Remake angespielt: Cloud Strife und die (fast) unendliche Geschichte
    Final Fantasy 7 Remake angespielt
    Cloud Strife und die (fast) unendliche Geschichte

    E3 2019 Das Remake von Final Fantasy 7 wird ein Riesenprojekt, allein die erste Episode erscheint auf zwei Blu-ray-Discs. Kurios: In wie viele Folgen das bereits enorm umfangreiche Original von 1997 aufgeteilt wird, kann bislang nicht mal der Producer sagen.

    1. Final Fantasy 14 Online Report Zwischen Cosplay, Kirmes und Kampfsystem
    2. Square Enix Final Fantasy 14 erhält Solo-Inhalte und besonderen Magier
    3. Rollenspiel Square Enix streicht Erweiterungen für Final Fantasy 15

      •  /