IT-Sicherheit: 12 Lehren aus dem Politiker-Hack

Ein polizeibekanntes Skriptkiddie hat offenbar jahrelang unbemerkt Politiker und Prominente ausspähen können und deren Daten veröffentlicht. Welche Konsequenzen sollten für die Sicherheit von Daten aus dem Datenleak gezogen werden?

Eine Analyse von veröffentlicht am
Der Weg zur Erkenntnis ist steil - das gilt besonders für Lehren aus Hacks.
Der Weg zur Erkenntnis ist steil - das gilt besonders für Lehren aus Hacks. (Bild: Public Domain)

Ist es am Ende ein Grund zur Erleichterung, dass nicht russische oder chinesische Staatshacker reihenweise die Accounts deutscher Politiker und Prominenter geknackt haben? Oder eher beunruhigend, dass es selbst einem polizeibekannten 20-jährigen Skriptkiddie gelungen ist, offenbar ohne besondere Werkzeuge und Zero-Day-Exploits die Schutzmechanismen von E-Mail- und Social-Media-Konten zu überwinden, um dann persönliche Daten via Twitter zu veröffentlichen?

Inhalt:
  1. IT-Sicherheit: 12 Lehren aus dem Politiker-Hack
  2. Gehackte Passwörter den Nutzern mitteilen
  3. Hackbacks als 'maximaldümmster Vorschlag'

Zwar sind noch längst nicht alle Hintergründe des Politiker-Hacks geklärt. Doch erste Lehren können durchaus schon gezogen werden. Das ist unabhängig von der Tatsache, ob der Hacker alle Accounts selbst gehackt oder einzelne Passwörter möglicherweise gezielt im Darknet gekauft hat. Passwort-Dumps sind ohnehin problemlos erhältlich.

1. Sensibilisierung alleine reicht nicht

Als Konsequenz aus dem Datenleak will Bundesinnenminister Horst Seehofer (CSU) die Bürger verstärkt für die Gefahren im Netz sensibilisieren. Darüber hinaus soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) auch den Verbraucherschutz im Netz als Aufgabe erhalten. Vom aktuellen Hack waren etliche Nutzer wie der Grünen-Netzpolitiker Konstantin von Notz betroffen, die sicherlich nicht über die Gefahren im Netz aufgeklärt werden müssen. Offenbar ist es dem 20-Jährigen möglich gewesen, eine Zwei-Faktor-Authentifizierung auf Twitter zu umgehen. Das heißt: Selbst wenn Nutzer möglichst hohe Schutzmechanismen einhalten, ist dies keine Gewähr dafür, dass sie von Kriminellen oder anderen Hackern am Ende nicht doch umgangen werden. Nicht nur die Nutzer, auch die Anbieter und deren Sicherungsverfahren sind häufig eine Schwachstelle bei der Datensicherheit. Nutzer müssen leider immer einkalkulieren, dass ihre eigenen Vorsichtsmaßnahmen nicht ausreichen.

Politiker sprachen in den vergangenen Tagen von einem "ersten" und "letzten" Warnschuss. Doch der brutalstmögliche Warnschuss in Sachen IT-Sicherheit sitzt seit zwei Jahren im Weißen Haus und twittert munter vor sich hin. Vor der Bundestagswahl 2017 hatte die Parteien sogar eine gewisse Panik erfasst, was die Gefahren durch Fake-News, Leaks und Social-Bots betraf. Bis zur Wahl im September 2017 rechneten die Behörden in Deutschland mit ähnlichen Vorfällen wie in den USA und Frankreich. Die Vorsichtsmaßnahmen waren entsprechend hoch.

2. Nicht alle Verpflichtungen wären sinnvoll

Stellenmarkt
  1. Ingenieur (m/w/d) Vernetzung Automotive
    STAR ELECTRONICS GmbH, Sindelfingen (Home-Office möglich)
  2. Data Engineer (m/w/d)
    Matrix42 AG, Frankfurt am Main
Detailsuche

Die von dem Datenleak betroffenen Grünen-Politiker Konstantin von Notz und Malte Spitz fordern als Konsequenz eine verpflichtende Zwei-Faktor-Authentifizierung und starke Passwort-Vorgaben bei der Nutzung von Online-Diensten. Beide Sicherheitsmechanismen sind sinnvoll, auch wenn sie wie oben bereits erwähnt offensichtlich keine Garantie bieten, dass Accounts nicht übernommen werden können.

Eine generelle Verpflichtung würde jedoch über das Ziel hinausschießen. Denn nicht hinter jedem Account stecken wichtige Daten, die mit hohem Aufwand geschützt werden müssen. Zudem bedeutet ein zusätzlicher Faktor häufig, dass beispielsweise eine Telefonnummer angegeben werden muss. Doch damit steigt wiederum die Gefahr, dass personenbezogene Daten missbraucht werden. SMS lassen sich zudem mit Hilfe von IMSI-Catchern mitlesen. Überlegenswert wäre hingegen eine Verpflichtung für Anbieter, einen zweiten Faktor wie Security-Token zumindest als Option bereitzustellen.

Sinnvoll ist auf jeden Fall die Pflicht für sichere Passwörter. Dies sieht beispielsweise auch die neue Richtlinie für Heimrouter vor, die vom BSI im November 2018 veröffentlicht wurde. Was für den heimischen Router gilt, sollte auch für andere Dienste im Netz kein Problem sein. Eine aktuelle Analyse von Spiegel Online zeigt, dass Anbieter wie GMX, Web.de oder T-Online weder starke Passwörter verlangen noch einen zweiten Login-Faktor ermöglichen.

Zwar ist bei Anbietern wie Mailbox.org schon seit längerem eine Zwei-Faktor-Authentifzierung möglich, dann ist der Zugriff auf die E-Mails via Imap oder Pop3 aber nicht mehr möglich. Daher wäre es sinnvoll, Imap mit einem zweiten Faktor aufzurüsten. Der Twitter-Account des Youtubers Unge konnte wohl auch deshalb übernommen werden, weil das damit verbundene Gmail-Konto nicht durch einen zweiten Faktor gesichert war. Immerhin gibt es bei Google-Konten die Möglichkeit, für bestimmte Anwendungen eigene Passwörter generieren zu lassen und diese auch für Mail-Clients wie Outlook oder Thunderbird zu nutzen.

3. Dienste genauer auswählen

Die veröffentlichten Daten haben gezeigt, dass private Kommunikation inzwischen auf sehr vielen verschiedenen Kanälen verläuft. Viele nutzen nicht nur einen einzelnen Messengerdienst wie Whatsapp, Signal oder Threema, sondern auch die Möglichkeiten von Diensten wie Twitter oder Facebook. Je mehr Dienste genutzt werden, desto größer ist das Risiko, dass bei einem Hack eines Dienste auch private Kommunikation bekannt wird.

Denn der Hack hat auch gezeigt: Man sollte sich nicht nur darauf verlassen, dass durch technische Maßnahmen ein Zugang zu einem bestimmten Konto verhindert werden kann. Man sollte auch überlegen, was ein Hacker vorfindet, wenn er sich dennoch Zugriff verschafft.

4. Altlasten beseitigen

In den gut 25 Jahren seit Bestehen des Internets haben aktive Nutzer viele verschiedene Dienste in Anspruch genommen. Auch wenn manche Dienste, wie beispielsweise AOL, von vielen inzwischen nicht mehr genutzt werden, sind dort möglicherweise noch persönliche Daten gespeichert. Daher kann es sinnvoll sein, solche alten Konten zu deaktivieren und die darauf gespeicherten Daten zu löschen. So wurden Anbieter wie Myspace, AOL und Yahoo in den vergangenen Jahren gehackt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Gehackte Passwörter den Nutzern mitteilen 
  1. 1
  2. 2
  3. 3
  4.  


divus 18. Jan 2019

Haveibeenpwnd.com bietet seit Kurzem auch die Möglichkeit nach Passwörtern zu suchen. Ob...

Kommentator2019 15. Jan 2019

https://threema.ch/de/faq

ElMario 14. Jan 2019

Die Medien sind da aber anderer Meinung... x'D Also wird das Volk auch anderer Meinung...

Trollversteher 13. Jan 2019

Ich hatte vor allem ein Problem mit den "Politbonzen" bzw. dem üblichen "Eliten"-Unsinn...

ibsi 11. Jan 2019

Das es andere Dienste gibt, geschenkt, einen aus Deiner Liste benutze ich auch. Aber ist...



Aktuell auf der Startseite von Golem.de
Drucker
Ohne Tinte kein Scan - Klage gegen Canon

In den USA wurde eine Sammelklage gegen Canon eingereicht: Klagegrund ist, dass einige 3-in-1-Geräte nur scannen, wenn Tinte vorhanden ist.

Drucker: Ohne Tinte kein Scan - Klage gegen Canon
Artikel
  1. Microsoft: Xbox-Kühlschrank kostet 100 Euro
    Microsoft
    Xbox-Kühlschrank kostet 100 Euro

    Microsoft bringt wie angekündigt einen Minikühlschrank im Design der Xbox Series X auf den Markt, der auch nach Deutschland kommen wird.

  2. Streaming: Squid Game soll Netflix 900 Millionen US-Dollar bringen
    Streaming
    Squid Game soll Netflix 900 Millionen US-Dollar bringen

    Die südkoreanische Serie Squid Game ist dabei, sich zu Netflix' größtem Erfolg zu entwickeln: Die Survival-Serie bricht mehrere Rekorde.

  3. Silicon Valley: Apple entlässt #Appletoo-Aktivistin
    Silicon Valley
    Apple entlässt #Appletoo-Aktivistin

    Apple hat Janneke Parrish gekündigt, die sich für die Offenlegung von Diskriminierung in dem Unternehmen einsetzte. Auch Netflix entlässt offenbar eine Aktivistin.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 37% Rabatt auf Corsair-Produkte • Mehrwertsteuer-Aktion bei MediaMarkt • Crucial BX500 1 TB 69€ • Aerocool Aero One White 41,98€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /