Handelsblatt

MenüZurück
Wird geladen.

10.04.2015

16:51 Uhr

Lufthansa Miles and More

Hacker knacken Konten von Vielfliegern

VonKaren Grass

Hacker haben sich Zugriff auf Konten von Lufthansa-Vielfliegern verschafft. Die Airline hat die Konten gesperrt, konnte aber nicht verhindern, dass die Täter Gutscheine einlösten. Die Attacke ist kein Einzelfall.

Hacker haben sich Zugriff auf Konten von Lufthansa-Nutzern verschafft. dpa

Bonusprogramm Miles and More

Hacker haben sich Zugriff auf Konten von Lufthansa-Nutzern verschafft.

FrankfurtLufthansa-Kunden sind Opfer einer Cyber-Attacke geworden. Wie der „Spiegel“ berichtet, haben sich Hacker Zugang zu den persönlichen Internetseiten von „LH.com“-Nutzern verschafft und damit zu deren Meilenkonten bei Miles& More. Ein Lufthansa-Sprecher bestätigte auf Anfrage von Handelsblatt Online, dass es über mehrere Wochen solche Angriffe mithilfe von Username-Passwort-Listen auf die Datenbanken von Lufthansa gab.

Dabei soll aber keine unternehmenseigene Datenbank gehackt worden sein. Stattdessen hätten die Angreifer Kombinationen, die sie durch so genannte Botnetze im Internet abgegriffen hatten, massenhaft auf verschiedenen Firmenwebsites ausprobiert. Bei den Lufthansa „Miles & More“-Konten hatten sie mit dieser Masche in mehreren Hundert Fällen Treffer gelandet.

„Sobald wir einen Angriff entdeckt haben, haben wir die betroffenen Konten der Nutzer sofort gesperrt“, so der Lufthansa-Sprecher. Dennoch sei es in einigen Fällen dazu gekommen, dass die Täter die angesammelten Meilen der Kunden nutzen konnten, um Prämien zu erwerben. So seien etwa Gutscheine für Musikplattformen und Reisegutscheine eingelöst worden. „Die Angreifer haben vermutlich auch deshalb die Gutscheine genutzt, da diese Spuren relativ schwer nachvollziehbar sind und nur wenige Hinweise auf die Täter liefern“, so der Sprecher.

Persönliche Daten wie Name, Adresse, Reisedaten oder gar Kontonummern hätten die Angreifer dabei in keinem Fall abgreifen oder auch nur einsehen können. Die betroffenen Konten wurden gesperrt, die Besitzer hätten neue Zugänge bekommen und die Meilen und Gutscheinansprüche wieder gutschrieben bekommen. Über den entstandenen finanziellen Schaden äußerte sich die Lufthansa nicht, ebenso wenig wie zu Hinweisen auf die Täter.

Wie die Hacker zum Ziel kommen

Eine einzige Schwachstelle reicht

Wenn kriminelle Angreifer in ein Computersystem eindringen wollen, haben sie einen Vorteil: Sie müssen womöglich nur eine einzige Schwachstelle finden, um einen Rechner zu kompromittieren. Einige ausgewählte Angriffsmethoden.

Verspätetes Update

Es gibt praktisch keine fehlerlose Software – wenn Sicherheitslücken entdeckt werden, sollte sie der Hersteller mit einem Update schließen. Viele Firmen lassen sich jedoch Zeit, diese zu installieren und öffnen Angreifern somit Tür und Tor.

Angriff auf die Neugier

Der Mensch ist neugierig - das machen sich kriminelle Hacker zunutze: Sie verfassen fingierte E-Mails, die wichtige Dokumente oder ein lustiges Video versprechen, aber nebenbei die Zugangsdaten eines Mitarbeiters stehlen. Phishing wird diese Methode genannt.

Gutgläubigkeit als Einfallstor

„Hier ist die IT-Abteilung. Wir brauchen mal Ihr Passwort“: Nicht selten gelangen Angreifer mit einem dreisten Anruf an die Zugangsdaten eines Mitarbeiters. Wer gutgläubig ist, fällt auf diese Masche rein – obwohl die IT-Fachleute aus dem eigenen Haus nie so eine Frage stellen würden.

Ein Passwort, das nicht sicher ist

Ob Router oder Drucker: Viele Geräte werden mit einem Standardpasswort ausgeliefert. Wenn die IT-Abteilung es nicht verändert, haben Angreifer leichtes Spiel. „Die Handbücher mit dem Passwort stehen oft im Internet“, sagt Joachim Müller, Chef für IT-Sicherheit beim Dienstleister Ceyoniq Consulting.

Ein schwaches Glied

Angreifer suchen das schwächste Glied in der Kette, häufig alte Systeme. Zudem kennen professionelle Angreifer – neben Kriminellen auch Geheimdienste – oft Sicherheitslücken, die den Herstellern der Software noch nicht bekannt sind. Gegen solche Zero-Day-Exploits kann man sich kaum schützen.

Botnetze werden immer wieder eingesetzt, um massenhaft Daten abzugreifen und diese dann auf allen möglichen Websites auszuprobieren. „Den Angreifern ist dabei vollkommen egal, dass etliche Kombinationen veraltet oder durch Tippfehler unbrauchbar geworden sind, sie haben immer noch häufig genug Erfolg“, sagt Matthias Gärtner, Sprecher des Bundesamtes für Sicherheit in der Informationstechnik. Die Daten würden etwa über Keylogger geerntet, die an Rechner angeschlossen werden und Tastatureingaben mitschreiben können. Das Leck kann also im Fall Lufthansa überall gelegen haben.

Sobald ein Kunde die selbe Kombination für mehrere Accounts nutzt, können die Täter beim Lufthansa-Meilenkonto Erfolg haben, ohne jemals an Lufthansadaten gekommen zu sein. Das Bundesamt für Sicherheit in der Informationstechnik hatte erst Anfang des vergangenen Jahres 18 Millionen Datensätze von der Staatsanwaltschaft Verden an der Aller erhalten, die diese bei Ermittlungen gegen Botnetzbetreiber beschlagnahmt hatte.

Die schlechtesten Passwörter 2013

Diverse Ziffernfolgen

Das häufigste Passwort ist „123456“, auf Platz 3 steht „12345678“, auf Platz 9 „123456789“: Ziffernfolgen sind beliebt. Auch „123123“ taucht in der Liste auf.
Quelle: Splashdata. Das US-Unternehmen hat gehackte und im Internet veröffentlichte Nuzterkonten analyisert.

Eine Ziffer mal sechs

Noch einfacher machen es sich Nutzer mit Passwörtern wie „111111“ (Platz 7) und „000000“ (Platz 25). Beide dürften Cyberkriminelle auf dem Zettel haben.

Problem erkannt

Etlichen Nutzern ist das Problem offenbar klar: Auf Platz 24 steht das Passwort „trustno1“, deutsch: Vertraue niemandem. Sicher ist es indes nicht.

Liebesgrüße im Browser

Unsicher, aber zumindest romantisch sind Passwörter wie „iloveyou“ (Platz 9) und „princess“ (Platz 22) – sofern sie sich auf den Partner beziehen.

Affe im Schatten

Warum die Begriffe als Passwörter beliebt sind, ist zwar unklar. Dennoch: „shadow“, deutsch: Schatten, und „monkey“, deutsche: Affe, stehen auf den Plätzen 18 und 17.

Firmenname als Hilfe

In der diesjährigen Auswertung ergibt sich eine Besonderheit: Da 38 Millionen Passwörter von Adobe-Kunden eingeflossen sind, tauchen sowohl der Firmenname als auch Produkte des Unternehmens auf, etwa in „adobe 123“ (Platz 10) und „photoshop“ (Platz 15).

Das ist laut Gärtner vom BSI möglich, da die meisten elektronischen Identitäten immer noch ganz einfach aufgebaut sind und lediglich aus Benutzername oder E-Mail und Passwort bestehen. „Wir plädieren dafür, dass zusätzliche Hürden eingebaut werden, etwa durch Token oder durch ein Tan-System, bei dem die Zifferkombinationen per SMS an eine hinterlegte Handynummer versendet werden“, sagt Gärtner. Allerdings werde dies in der Breite noch nicht genutzt, ebenso wenig werde von den Funktionen des elektronischen Personalausweises Gebrauch gemacht. „Dabei steht die Infrastruktur bereit, sie muss nur genutzt werden“, appelliert Gärtner.

Kommentare (1)

Selber kommentieren? Hier zur klassischen Webseite wechseln.  Selber kommentieren? Hier zur klassischen Webseite wechseln.

Sergio Puntila

10.04.2015, 17:14 Uhr

Beitrag von der Redaktion gelöscht. Bitte bleiben Sie sachlich.

Direkt vom Startbildschirm zu Handelsblatt.com

Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.

Auf tippen, dann „Zum Startbildschirm“ hinzufügen.

×