Handelsblatt

MenüZurück
Wird geladen.

27.09.2016

16:00 Uhr

Nach dem Hackerangriff auf Yahoo

Wenn Passwörter nicht mehr schützen

VonChristof Kerkmann

Es ist der nächste große Datendiebstahl: Hacker haben bei Yahoo Informationen über 500 Millionen Nutzer erbeutet. Mit jedem Vorfall wird das Prinzip Passwort geschwächt. Welche Gefahren drohen – und was noch hilft.

Passwörter wie „123456“ oder „dadada“ sind nicht sicher. Kriminelle und Spione können sie in kürzester Zeit knacken. dpa

Passwort geknackt

Passwörter wie „123456“ oder „dadada“ sind nicht sicher. Kriminelle und Spione können sie in kürzester Zeit knacken.

Millionen Nutzer haben letzte Woche eine schlechte Nachricht in ihrem E-Mail-Postfach vorgefunden: Angreifer sind in die Systeme von Yahoo eingedrungen und haben 500 Millionen Datensätze samt verschlüsselter Passwörter kopiert – der Internetriese rät nun dazu, die Zugangsdaten schleunigst zu ändern und nach „verdächtigen Aktivitäten“ Ausschau zu halten.

Das Ausmaß des Schadens ist zwar rekordverdächtig, doch der Datendiebstahl an sich kein Einzelfall. In den vergangenen Jahren gelang es Angreifern wiederholt, Millionen von Datensätzen zu stehlen. Jedes Mal müssen die Nutzer fürchten, dass Hacker und Spione sie bestehlen und ausschnüffeln. Und jedes Mal wird deutlich, wie schwach die Absicherung durch Passwörter eigentlich ist.

Große Hacker-Angriffe der vergangenen Jahre

Yahoo

Es ist der wahrscheinlich größte Datendiebstahl bei einem einzigen Unternehmen bislang: Mindestens eine halbe Milliarde Nutzer des US-Internetkonzerns Yahoo sind Opfer eines Hackerangriffs geworden. Die Kriminellen erbeuteten E-Mail-Adressen, Geburtsdaten, Telefonnummern, Passwörter und auch unverschlüsselte Sicherheitsfragen, wie Yahoo am Donnerstag mitteilte. Der Angriff ereignete sich schon Ende 2014, im August 2016 wurden 200 Millionen Daten im Netz zum Kauf angeboten – für umgerechnet 1700 Euro.

Ebay

Bei der im Mai 2014 bekanntgewordenen Attacke verschafften sich die Hacker Zugang zu Daten von rund 145 Millionen Kunden, darunter E-Mail- und Wohnadressen sowie Login-Informationen. Die Handelsplattform leitete einen groß angelegten Passwort-Wechsel ein.

Target

Ein Hack der Kassensysteme des US-Supermarkt-Betreibers machte Kreditkarten-Daten von 110 Millionen Kunden zur Beute. Die Angreifer konnten sich einige Zeit unbemerkt im Netz bewegen, die Verkäufe von Target sackten nach Bekanntgabe im Dezember 2013 ab, weil Kunden die Läden mieden.

Home Depot

Beim Angriff auf die amerikanische Baumarkt-Kette gelangten Kreditkarten-Daten von 56 Millionen Kunden in die Hände unbekannter Hacker, wie im September 2014 mitgeteilt wurde. Später räumte Home Depot ein, dass auch über 50 Millionen E-Mail-Adressen betroffen waren.

JP Morgan

Die Hacker erbeuteten bei der im August 2014 bekanntgewordenen Attacke auf die US-Großbank die E-Mail- und Postadressen von 76 Millionen Haushalten und sieben Millionen Unternehmen.

Sony Pictures

Ein Angriff, hinter dem Hacker aus Nordkorea vermutet wurden, legte für Wochen das gesamte Computernetz des Filmstudios lahm. Zudem wurde die E-Mail-Korrespondenz aus mehreren Jahren erbeutet. Die Veröffentlichung vertraulicher Nachrichten sorgte für höchst unangenehme Momente für mehrere Hollywood-Player.

Ashley Madison

Eine Hacker-Gruppe stahl im Juli 2015 Daten von rund 37 Millionen Kunden des Dating-Portals. Da Ashley Madison den Nutzern besondere Vertraulichkeit beim Fremdgehen versprach, waren die Enthüllungen für viele Kunden schockierend.

V-Tech

Der Spezialist für Lernspielzeug räumte den Hacker-Angriff im November 2015 ein. Später wurde bekannt, dass fast 6,4 Millionen Kinder-Profile mit Namen und Geburtsdatum betroffen waren, davon gut 500.000 in Deutschland.

Das Passwort steht schon länger in der Kritik. Es sei „das schlechteste Authentifizierungsverfahren, das wir haben“, sagt Arno Wacker, Professor für angewandte Informationssicherheit an der Uni Kassel. „Aber es ist nun mal das einfachste und billigste – deswegen wird es weiter eingesetzt.“ Dabei spielt die Zeit gegen das Verfahren. Denn Hacker finden immer effizientere Methoden, um Passwörter zu knacken. Wir erklären, wie Nutzer sich damit arrangieren können.

Riskantes „dadada“

E-Mails, soziale Netzwerke, PC, Kreditkarte, und und und: Der normalvernetzte Mensch muss sind mindestens ein halbes Dutzend Passwörter und Codes merken, wenn nicht deutlich mehr. Das macht vielen zu schaffen. Nach einer Umfrage des Hightech-Verbands Bitkom fühlt sich jeder Dritte (36 Prozent) mit der großen Menge an Passwörter überfordert.

Um damit klarzukommen, setzen viele Nutzer auf eine riskante Vereinfachung: Zum einen verwenden sie ihre Zugangsdaten mehrfach. Wenn Cyberkriminelle diese erbeuten, haben es sie leicht, auch in andere Websites einzudringen – etwa beim Online-Händler Amazon oder dem Netzwerk Facebook.

Zum anderen verwenden sie einfache Zeichenketten: Das beliebteste Passwort der Welt lautet „123456“, gefolgt von „password“ und „qwerty“, nach der Abfolge der Buchstaben auf der englischen Tastatur. Dass selbst Facebook-Chef Mark Zuckerberg den Begriff „dadada“ für sicher genug hielt, um seine Nutzerkonten bei Twitter und Pinterest abzusichern, macht nicht gerade Hoffnung für den Durchschnittsnutzer.

Das mag zwar einige Zeit gut gehen, wie der Fall Zuckerberg zeigt. Doch sobald Hacker wie bei Yahoo persönliche Daten kopieren, werden einfache Passwörter zum Problem. Selbst, wenn diese verschlüsselt sind. Warum das so ist, lesen Sie auf der nächsten Seite.

Kommentare (2)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

Herr Hans-Georg Fengler

28.09.2016, 10:45 Uhr

Ich würde das Passwort nicht so schnell für obsolet erklären – das Problem ist weniger das Passwortverfahren als vielmehr als vielmehr die Fahrlässigkeit der Passwort-Anwender.

Die Lösung für gute Passwörter ist ein Passwort-Tresor wie z.B. KeePass. Ein solches Programm ermöglicht es, wirklich zufällige Passwörter (die man in keinem Wörterbuch o.ä. findet) zu generieren. Man muss sich die Passwörter (mit Ausnahme des einen, das den Passwort-Tresor absichert) auch nicht merken; das Programm kann das Passwort im Passwortfeld der Website eintragen.

Noch kurz zur Sicherheit: Die Kombinationsmöglichkeiten für ein Passwort ergeben sich aus dem Zeichenvorrat für das Passwort hoch der Passwortlänge. Nimmt man also ein 15 Zeichen langes Passwort (kein Problem beim Einsatz eines Passwort-Tresors) und wählt als Zeichenvorrat ‚nur‘ Kleinbuchstaben, Großbuchstaben und Ziffern (also 62 Zeichen), ergeben sich für dieses Passwort 62 hoch 15 Möglichkeiten (also ungefähr 768.909.704.948.767.000.000.000.000).

Wenn man damit rechnet, dass ein Brute-Force Angriff heute ca. 2 Milliarden Passwörter pro Sekunde durchprobieren kann, braucht man für das o.g. Beispiel ca. 12.190.983.399 Jahre). Das wird auch dadurch nicht viel einfacher, dass der Angreifer im statistischen Durchschnitt ‚nur‘ die Hälfte der angegebenen Kombinationsmöglichkeiten durchprobieren muss, bis er das Passwort geknackt hat.

Und wenn jemand meint, dass ihm das zu unsicher ist, ist es kein Problem mit Hilfe des Passwort-Tresors die Passwortlänge auf 20 zu erhöhen (62 hoch 20 Möglichkeiten) und auch noch Sonderzeichen in das Passwort einzubauen (> 100 hoch 20 Möglichkeiten).

Account gelöscht!

30.09.2016, 10:09 Uhr

Stimmt nicht. Die einzige Spielregel die es gibt, sind keine Kinder. Ansonsten ist meine Herzdame (inzw. sogar Verlobte) absolut gleichberechtigt. Und wird nach der Uni als meine persönliche Fitnesstrainerin und Ernährungscoach arbeiten. Wenn ich mit spätestens Mitte 40 mit dem Börsenzeugs aufhöre, und als GT3 -Fahrer im selbst finanzierten Team in der VLN mit einem R8 LMSultra teilnehme.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×