Daten von Politikern und anderen Prominenten veröffentlicht

In vielen Fällen waren die betroffenen Personen wohl zu leichtsinnig mit den Sicherheitseinstellungen

Wie in den letzten Tagen bekannt wurde, werden seit Dezember 2018 private Daten von Politikern und anderen Prominenten, die zuvor ausspioniert wurden, im Internet veröffentlicht. Während sich die Medien zumindest teilweise primär damit beschäftigen, welche Behörde wann, was gewusst hat und mutmaßlich zu spät reagiert hat, wollen wir in diesem Beitrag eher einen Blick darauf werden, wie solche Angriffe aussehen können und wie man sich dagegen schützen kann.

Ohne Schwachstelle kein erfolgreicher Angriff!

Zunächst einmal ist es keineswegs so, dass man solchen Hackerangriffen schutzlos ausgeliefert ist. Zum Erfolg kommt ein solcher Hackerangriff nämlich nur dann, wenn eine entsprechende Sicherheitslücke gefunden wird. Beim Einsatz von Cloud-Dienstleistern, sozialen Netzwerken oder einfach nur einem E-Mail Provider kann es natürlich sein, dass der Anbieter selbst nicht alle notwendigen Sicherheitsmaßnahmen ergriffen hat. In diesem Fall kann man selbst nicht allzu viel tun, außer einen anderen Dienstleister zu wählen. Auf jeden Fall ist man gut beraten, sich die Anbieter, denen man sensible Daten preisgibt zuvor genau anzuschauen. Im geschäftlichen Bereich, in dem die DS-GVO zur Anwendung kommt, ist man hierzu sogar verpflichtet. Eine weitere Frage ist, wie viele sensible Daten man diesen Anbietern preisgibt? Im Falle der jetzt veröffentlichten Daten war es wohl zumindest zum Teil so, dass private E-Mail-Konten auch für dienstliche Zwecke verwendet wurden. Hier kann sich jeder selbst überlegen welcher Dienst wohl im Zweifelsfall mehr in die IT-Sicherheit investiert: ein kostenloser privater E-Mail Dienst oder der offizielle kostenpflichtige und über Verträge gebundene E-Mail-Dienst des Unternehmens (oder im konkreten Fall für die Funktionsträger einer Partei)?

Meist unsichere Passwörter

Statistiken zeigen jedoch, dass in den meisten Fällen der Anwender für die Sicherheitslücke selbst verantwortlich ist. Immer noch werden häufig zu kurze, oder zu wenig komplexe Passwörter verwendet. Es passt sehr gut zusammen, dass fast gleichzeitig mit diesem Hackerangriff eine neue Statistik zu den am häufigsten verwendeten Passwörtern veröffentlicht wurde. Und zwar hat das Hasso Plattner Institut (HPI) am 18.12.2018 die Top Ten der deutschen Passwörter veröffentlicht. Immer noch – wie seit Jahren- auf Platz 1: „123456“. Aber auch die Passwörter des Rests der Top Ten haben es in sich (z.B. „hallo123“, „passwort“, „master“). Direkt unterhalb der Statistik veröffentlicht das HPI übrigens auch Hinweise, über welche Eigenschaften ein sicheres Passwort verfügen sollte:

  • Lange Passwörter (> 15 Zeichen),
  • Alle Zeichenklassen verwenden (Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen),
  • Keine Wörter aus dem Wörterbuch,
  • Keine Wiederverwendung von gleichen oder ähnlichen Passwörtern bei unterschiedlichen Diensten,
  • Verwendung von Passwortmanagern,
  • Passwortwechsel bei Sicherheitsvorfällen und bei Passwörtern, die die obigen Regeln nicht erfüllen,
  • Zwei-Faktor-Authentifizierung aktivieren.

Auch im nun aktuellen Fall der entwendeten Daten haben es den Hackern wohl zumindest zum Teil unsichere Passwörter leicht gemacht.

Verwendung identischer Passwörter bei mehreren Diensten

Bei der Beratung unserer Kunden stellen wir immer fest, dass gerade die Forderung, keine identischen Passwörter bei unterschiedlichen Diensten zu verwenden, auf Unverständnis stößt. Wenn das Passwort und der jeweilige Dienst sicher sind, so die Argumentation, dass könne dieses Passwort doch auch mehrfach verwendet werden. Diese Argumentation klingt zunächst durchaus nachvollziehbar. Bei genauerer Betrachtung wird das bestehende Risiko jedoch offensichtlich. Würde nur ein einziger verwendeter Anbieter gehackt und das Passwort würde den Angreifern bekannt, hätten Sie eventuell Zugriff auf alle anderen genutzten Dienste. Dass niemand sich die unterschiedlichen Kennwörter alle auswendig merken kann, insbesondere dann nicht, wenn sie den oben beschriebenen Richtlinien entsprechen, ist für viele ein Argument gegen die Verwendung unterschiedlicher Passwörter. Dieses nachvollziehbare Problem lässt sich jedoch durch Einsatz eines Passwortmanagers lösen.

Zwei-Faktor-Authentifizierung!

Häufig hört man im Zusammenhang mit dem aktuellen Hackerangriff von Politikern die Forderung, Anbieter müssten die sogenannte Zwei-Faktor-Authentifizierung anbieten. Tatsache ist, dass die meisten Anbieter diese Möglichkeit einer sicheren Authentifizierung bereits optional anbieten. Aus Bequemlichkeit oder Unkenntnis wird diese jedoch häufig nicht genutzt.

Zwei-Faktor-Authentifizierung?

Aber was ist die Zwei-Faktor-Authentifizierung genau? Dahinter steckt die Idee, dass man zur Authentifizierung nicht nur ein Passwort verwendet (also etwas dass man „weiß“), sondern eine zweite Authentifizierung durchführt durch etwas das man „besitzt“ (z.B. Smartphone) oder durch ein persönliche Eigenschaft (z.B. Fingerabdruck). Am häufigsten kommt derzeit die Verwendung des Smartphones zum Einsatz. Hierzu wird entweder eine spezielle App zur Authentifizierung verwendet oder es wird per SMS ein sogenanntes Einmal-Passwort an eine zuvor hinterlegte Nummer zugesandt. Durch die Eingabe des Einmal-Passwortes zur Anmeldung weist der Benutzer nach, dass er das Smartphone (oder zumindest irgendein Endgerät, das die SMS an die zuvor hinterlegte Telefonnummer empfangen kann) besitzt.

Social Engineering

Ein weiterer Unsicherheitsfaktor, der speziell bei der Wirtschaftsspionage zum Einsatz kommt, ist das sogenannte Social Engineering. Hierbei wird über direkte persönliche Kontakte ein gewisses Maß an Vertrauen aufgebaut, welches dann im Nachgang missbraucht wird, um an Informationen zu kommen oder Zugang zu Geräten zu erhalten. Social Engineering kann beispielsweise über Facebook-Kontakte erfolgen, genauso aber auch über einen (scheinbar) zufälligen Kontakt mit einer Person, die im Fußballstadion neben einem steht und mit der man ins Gespräch kommt. Gerade exponierte Personen (Politiker, Journalisten, Vorstände großer Unternehmen etc.) müssen sich der Gefahr eines solchen Vertrauensmissbrauchs bewusst sein. Aber auch jede andere Person sollte bei neuen oder unbekannten Kontakten zumindest ein gewisses Maß an Vorsicht walten lassen. Insbesondere wenn es darum geht über interne oder geheime Informationen zu plaudern, ist zu empfehlen, hier eine harte Linie gegenüber privaten Kontakten zu ziehen, ohne dass dabei eine Paranoia entsteht.

Fazit

Hundertprozentige Sicherheit gibt es natürlich nicht. Aber es ist für den Anwender möglich, unter Beachtung einiger Regeln zur Sicherheit, einen guten Schutz vor Hackerangriffen zu erreichen. Und letztlich ist es wie bei einem Einbruch in die private Wohnung oder das private Haus auch: Es wird meist dort eingebrochen, wo es dem Angreifer am leichtesten gemacht wird.

Haben Sie in Ihrem Unternehmen verbindliche Kennwortrichtlinien erlassen und wird sichergestellt, dass diese auch eingehalten werden? Sensibilisieren Sie regelmäßig in Sachen Datenschutz? Kontaktieren Sie uns, wir beraten Sie gerne!