Handelsblatt App
Jetzt 4 Wochen für 1 €
Alle Inhalte in einer App
Der Hackerangriff auf Politiker und Prominente schreckt viele Nutzer auf: Sind meine Daten bedroht? Schon einfache Tricks schaffen mehr Sicherheit.
Düsseldorf Ein Hackerangriff auf knapp 1000 Politiker und Prominente versetzt die Öffentlichkeit in Aufregung. Ein 20-jähriger Schüler soll Daten wie Adressen und Telefonnummern, in rund 50 Fällen auch Fotos, Korrespondenz und private Informationen im Internet veröffentlicht haben. Die Polizei nahm ihn bereits am Wochenende fest.
Nimmt man die Menge und Brisanz der Daten zum Maßstab, handelt es sich um einen kleinen Zwischenfall. Bei der Hotelkette Marriott konnten Cyberkriminelle jüngst fast 400 Millionen Datensätze kopieren, in vielen Fällen mit Passnummern und Kreditkartendaten der Kunden. Trotzdem bewegt die öffentliche Bloßstellung – in Netzjargon Doxxing genannt – mehr: Die Prominenz der Opfer macht die Gefahr konkret.
In der Politik wird die Forderung laut, Softwarehersteller und Online-Dienste zu strengeren Sicherheitsmaßnahmen zu verpflichten. Darauf sollten Nutzer jedoch nicht warten: Mit einigen vergleichsweise einfachen Maßnahmen können sie zahlreiche Angriffsversuche stoppen – im aktuellen Fall hätte das womöglich gereicht, um sich zu schützen.
Neu ist diese Erkenntnis nicht. „Die Tipps zum Selbstschutz sind auf dem Stand vom letzten, vorletzten und vorvorletzten Jahr“, sagt Christoph Meinel, Professor am Hasso-Plattner-Institut in Potsdam. Der Informatiker, der auf IT-Sicherheit spezialisiert ist, beobachtet aber eine Diskrepanz zwischen wissen und handeln.
„Ich hoffe, dass der Fall zu vernünftigem Verhalten motiviert“, sagt Meinel in einem Gespräch mit dem Handelsblatt. Es sei ein permanenter Lernprozess wie bei den Hygieneregeln. „Mit dem Händewaschen können wir Krankheiten verhindern – solche Hygieneregeln brauchen wir auch für die digitale Welt.“ Diese verlangten ständige Obacht, seien aber sehr effektiv.
„123456“, „ficken“ und „hallo123“ zählen zu den beliebtesten Passwörtern in Deutschland – und damit zu den unsichersten. Denn Hacker wissen aufgrund zahlreicher Datenlecks, welche Kombinationen Nutzer häufig verwenden, und probieren diese sogleich aus, wenn sie ein Facebook- oder E-Mail-Konto knacken wollen. Eine Software übernimmt das automatisch.
Strengere Sicherheitsvorgaben, schärfere Gesetze: Könnten sich so sich Hackerangriffe verhindern lassen? Bei der Cybersicherheit besteht Handlungsbedarf. Erste Vorschläge von Politik und Verbänden kursieren bereits.
„Wenn man ein sicheres Passwort erstellen will, muss man sich vergegenwärtigen, wie Angriffe ablaufen“, sagt IT-Sicherheitsexperte Meinel. So probieren Hacker Begriffe aus dem Wörterbuch aus und gehen systematisch Zeichenkombinationen durch. Daher sollten Nutzer bei der Erstellung von Passwörtern Groß- und Kleinbuchstaben sowie Zahlen und Sonderzeichen nutzen.
Der IT-Verband Bitkom empfiehlt, sich einen Satz auszudenken, die Anfangsbuchstaben zusammenzufügen und Sonderzeichen einzufügen. „Meine Oma heißt Hannelore und fährt im Hühnerstahl auf einem Motorrad“ könnte so zu „MOhH&fiHa1M“ werden. Das gilt vor allem fürs E-Mail-Postfach: Es ermöglicht Zugriff auf andere Dienste und ist ein Generalschlüssel.
Allerdings reicht es nicht, ein einziges sicheres Passwort für alle Online-Dienste zu erstellen – wenn Hacker es erbeuten, können sie sonst ohne großen Aufwand in andere Nutzerkonten eindringen. Ob E-Mail, soziales Netzwerk, Bezahldienst oder Nachrichtenportal: Für jedes Angebot braucht es eigene Zugangsdaten.
Ist die Software meines Routers noch aktuell? Das BSI hat eine Leitlinie entwickelt, die die Schnittstelle ins Internet sicherer machen soll.
Das überfordert viele Nutzer. Passwortmanager können ihnen Abhilfe verschaffen: Die Programme erzeugen komplexe zufallsgenerierte und damit schwer zu knackende Kombinationen und legen sie verschlüsselt ab. Nutzer müssen sich somit nur noch ein Master-Passwort merken, das natürlich besonders sicher sein sollte.
Das erfordert jedoch eines: Vertrauen in den Anbieter. Der muss die Verschlüsselungstechnik richtig einsetzen und Sicherheitslücken schließen. Auch bei Passwortmanagern sind in der Vergangenheit gelegentlich Probleme publik geworden. „Für viele ist das in der Praxis aber eine gute Absicherung“, sagt Meinel.
Bei Online-Banking ist es gang und gäbe: Wenn Kunden Geld überweisen oder einen Dauerauftrag anlegen wollen, müssen sie neben Kontonummer und PIN einen Code eingeben, der auf einer Liste steht oder aufs Handy geschickt wird. Der Nutzer beweist seine Identität mit zwei Komponenten – Zwei-Faktor-Authentisierung wird das Prinzip daher genannt.
Auch zahlreiche Online-Dienste bieten die doppelte Absicherung an, darunter Facebook und Twitter, Google und GMX, Dropbox und Paypal. Etwa indem sie einen zusätzlichen Code aufs Handy schicken oder in einer App erzeugen, den der Nutzer bei der Anmeldung eingeben muss. Eine umfassende Übersicht bietet die Seite https://twofactorauth.org/.
Der Vorteil des Verfahrens: Selbst wenn Cyberkriminelle die Zugangsdaten kennen, können sie nicht aufs Nutzerkonto zugreifen. Zumindest solange sie nicht auch Zugriff aufs Handy haben.
Unsere Kommunikation gehört zu den sensibelsten Themen. Niemand möchte, dass der vertrauliche Austausch etwa mit dem Chef oder innerhalb der Familie bekannt wird. Doch viele digitale Austauschwege bieten nur unzureichenden Schutz. „Eine normale E-Mail ist immer offen wie eine Postkarte“, warnt das Bundesamt für Sicherheit in der Informationstechnik.
Doch es gibt Wege, um den Inhalt unserer Kommunikation zu verschlüsseln. Für E-Mails gilt bis heute das schon Anfang der 1990er-Jahre entwickelte Verfahren namens Pretty Good Privacy, kurz PGP, als wirksamer und gleichzeitig kostenloser Ansatz. Der Absender einer Nachricht verschlüsselt sie und, nur der Empfänger kann sie wieder entschlüsseln. Das System hat aber einen entscheidenden Haken. Nur wenn Sender und Empfänger beide die PGP-Technik einsetzen, funktioniert die Verschlüsselung auch. Bis heute konnte sich PGP nicht als Standardwerkzeug für E-Mail-Kommunikation durchsetzen.
Jeder Manager weiß um die Bedrohung durch Cyberangriffe – doch nur wenige Firmen haben eine ganzheitliche Strategie, um sich zu schützen.
Das sieht bei Kurznachrichtendiensten auf Smartphones anders aus. Etwa die Facebook-Tochter WhatsApp verschlüsselt die Nachrichten. Allerdings nimmt sich WhatsApp seit einer Änderung der Nutzungsbedingungen im Jahr 2016 das Recht, Informationen wie Profilname, Profilbild, Handynummer auszuwerten und innerhalb der Unternehmensgruppe weiterzuverwenden.
Einen anderen Weg gehen spezialisierte Messanger wie der von Edward Snowden empfohlene Dienst Signal oder die Schweizer App Threema. Die Programme funktionieren ähnlich wie WhatsApp. Die Macher hinter der Software versprechen jedoch, sowohl Nachrichten zu verschlüsseln, als auch Nutzerdaten nicht weiterzuverwenden.
Licht, Heizung oder Rollläden: Immer mehr Gegenstände im Haushalt werden vernetzt. Jeder vierte Bundesbürger besitzt mindestens ein vernetztes Gerät, hat der Digitalverband Bitkom ermitteln lassen. Doch viele der mit dem Internet verbundene Haushalts- oder Bürogeräte sind unzureichend gesichert.
Beim Hackerkongress CCC in Leipzig stellte IT-Unternehmer Michael Steigerwald Ende Dezember einen Weg vor, mit dem er sich Zugang zu einem Netzwerk über eine vernetzte Glühbirne verschaffen konnte. Die sensiblen Zugangsdaten seien unverschlüsselt auf dem Gerät gespeichert worden. „Das ist eine große Sicherheitslücke“, warnte Steigerwald.
Vernetzung kann jedoch nicht nur Haushalte, sondern auch Büros unsicher machen. Dazu sind nicht einmal moderne Geräte nötig, sondern sogar das Fax-Gerät kann zum Einfallstor für Hacker werden. Mit einem manipulierten Fax konnten Yaniv Balmas und Eyal Itkin von der israelischen IT-Sicherheitsfirma Check Point Software Technologies viele Geräte kapern und sich so unbefugten Zugang verschaffen.
Ihre Demonstration war besonders brisant. Denn bis heute sind Faxgeräte in vielen Behörden, Banken oder Firmen weitverbreitet. „Nutzen Sie Fax nur, wenn Sie wirklich müssen“, mahnte Balmas. Wer unbedingt auf das Fax angewiesen sei, müsse Vorsichtsmaßnahmen ergreifen, riet Balmas. „Stellen Sie sicher, dass Ihr Faxgerät vom Rest Ihres Computernetzwerks getrennt ist.“
Bei aller Vorsicht – Nutzer haben es nicht allein in der Hand, ihre Daten gegen unerlaubte Zugriffe zu schützen (außer, sie ziehen sich aus der digitalen Welt zurück). Wenn Hacker in ein Unternehmen eindringen, kann der Einzelne nichts dagegen tun. Daher ist es sinnvoll, sich einen Überblick zu verschaffen, welche Daten im Netz kursieren.
So können Nutzer mit dem Identity Leak Checker des Hasso-Plattner-Instituts überprüfen, ob ihre Zugangsdaten bei einem Datenleck veröffentlicht worden sind. Gleiches leistet das englischsprachige Angebot „Have I Been Pwned?“ des Microsoft-Forschers Troy Hunt. Ist das der Fall, erhalten sie eine Nachricht mit der dringenden Bitte, schnellstmöglich das Passwort zu ändern.
Es schadet auch nicht, regelmäßig den eigenen Namen zu googlen – das zeigt, ob Informationen offen einsehbar sind, die privat sein sollten. Sinnvoll ist es zudem, nicht mehr benötigte Nutzerkonten zu löschen. Dann können auch die hinterlegten Daten nicht mehr auf Abwege geraten.
Auf tippen, dann auf „Zum Home-Bildschirm“ hinzufügen.
Auf tippen, dann „Zum Startbildschirm“ hinzufügen.
×
