Editorial: Alles geknackt!?

Immer wieder machen Meldungen die Runde, dass Hacker millionenfach Internet-Passwörter entwendet haben. Gibt es wirklich keine Sicherheit? Oder können die Nutzer etwas zur Sicherheit ihrer persönlichen Daten tun?

Von Kai Petzke

Internet-Passwörter sind nicht sicher - Oder doch Internet-Passwörter sind nicht sicher. Oder doch?
Bild: dpa Leider gehen solche Meldungen in schöner Regelmäßigkeit über den Ticker: Cracker haben die Zugangsdaten zu N Millionen Konten bei Onlinedienst X entwendet und bieten diese über einen anonymen Marktplatz zum Kauf an. Aktuelles Opfer dieser Machenschaften sind Yahoo und deren Kunden, aber auch Google, Microsoft, das Business-Netzwerk LinkedIn oder der Online-Händler Amazon und viele, viele weitere waren bereits betroffen.

Für die Kunden bedeutet das: Man kann sich auf keinen Online-Händler oder Online-Dienstleister zu 100 Prozent verlassen. Um zumindest ein Mindestmaß an Sicherheit zu erreichen, sollten Nutzer mehrere Regeln für Passwörter beachten: Diese sollten mindestens 12 Zeichen lang sein, wenn sie per Zufallsgenerator erzeugt wurden, sonst sogar noch länger. Zudem sollte für jeden Online-Händler oder Online-Dienst jeweils ein eigenes Passwort verwendet werden. Und schließlich sollten Passwörter regelmäßig geändert werden, damit, sollte doch mal eines kompromittiert werden, die "bad guys" zumindest nicht beliebig lange Zugriff haben.

Im vorgenannten Absatz steht bei den ganzen Passwort-Regeln wiederholt "sollte" - weil erfahrungsgemäß 99 Prozent der Nutzer sich nicht an diese Regeln halten. Und wer jetzt meint, dass wenigstens die Chefs erfolgreicher IT-Unternehmen zu den 1 Prozent gehören, die stets sichere Passwörter verwenden, sie niemals teilen und regelmäßig aktualisieren, für den hat die Hacker-Gruppe "OurMine Team" aus Saudi-Arabien eine verstörende Nachricht: Durch den LinkedIn-Hack kam heraus, dass Mark Zuckerberg, Gründer von Facebook, (mindestens) seit 2012 bis Mitte 2016 dasselbe simple Passwort "dadada" für LinkedIn, Twitter und Pinterest verwendet hatte. Er also gleich gegen alle drei Regeln auf einmal verstoßen hat.

Auch mit den Mitteln des Strafrechts kommt man dem Passwort-Klau kaum bei. Es versteht sich von selber, dass Identitätsdiebe keine README-Datei auf dem Server hinterlassen: "Ihre Daten wurden entwendet von Name, Vorname, Anschrift, Ort". Selbst in den wenigen Fällen, in denen sich eine IP-Adresse zu dem Computer zurückverfolgen lässt, von dem der Angriff ausging, ist die Wahrscheinlichkeit sehr hoch, dass dieser Computer nicht wirklich dem Täter gehört, sondern von diesem kompromittiert wurde, um dessen Spuren zu verwischen. Und wenn trotz aller Spuren-Verwischerei und Kleinstaaterei bei der Strafverfolgung tatsächlich mal ein Täter erwischt wird, selbst dann stehen die Chancen gut, dass er sich freikaufen kann, indem er seine Dienste dem nationalen Geheimdienst anbietet. Schließlich interessieren sich NSA, CIA, BND, KGB und Co. geradezu brennend für die Inhalte bestimmter E-Mail-Accounts. Fein raus ist, wer die Zugangsdaten dazu hat.

Limitierte, unbequeme Sicherheit

Internet-Passwörter sind nicht sicher - Oder doch Internet-Passwörter sind nicht sicher. Oder doch?
Bild: dpa Hinzu kommt, dass es zahlreiche Vektoren für den Angriff auf die Passwort-Datenbank eines Online-Servers gibt. Hierzu gehört nicht nur der klassische Hacker-Angriff von außen unter Ausnutzung von Sicherheitslücken des Servers. Ebenso gibt es den Angriff von innen, dass ein krimineller oder vom Unternehmen enttäuschter Systemverwalter bewusst Daten klaut. Zur Abwendung von jedem dieser Angriffsszenarien sind unterschiedliche Maßnahmen erforderlich. So gut wie keinem Unternehmen gelingt es, wirklich alle zu implementieren.

Hinzu kommt: Die beiden Ziele "Zuverlässigkeit" und "Sicherheit" lassen sich nur schwer gemeinsam erreichen. Jede zusätzliche Firewall, jedes zusätzliche Intrusion Detection System, jede zusätzliche Systemtrennung etwa von User-, Transaktions- und Login-Datenbank, bringt zwar zusätzliche Sicherheit, aber erhöht zugleich auch die Ausfallgefahr. Versetzt man die Admins in die Lage, nach einer schweren Havarie die Daten schnell auf einem Ersatzsystem aufzuspielen, erhöht das auch die Gefahr, dass sie die Daten schnell mal auf einen eigenen USB-Stick kopieren. Und da Kunden auf Systemausfälle meist erheblich negativer reagieren als auf Meldungen über Sicherheitslücken oder Passwortklau, werden die Online-Unternehmen, vielleicht mit Ausnahme der Banken, auch künftig "Zuverlässigkeit" über "Sicherheit" stellen.

Was bleibt den Kunden übrig? Siehe oben: Wirklich gute, wirklich nicht geteilte und wirklich regelmäßige aktualisierte Passwörter einsetzen. Man wird jedoch nicht umhin kommen, diese Passwörter sich aufzuschreiben oder in einer App auf dem Smartphone zu speichern. Und damit wird dann das Passwort-Verzeichnis zum schwächsten Glied der Kette. Wer es entwendet, hat vollen Zugriff.

Weitere Editorials

31.03.24 - Editorial: Die klare Strategie fehlt bei Sky
03.12.23 - Abschaltdatum für DSL 2032: Chancen und Risiken
22.10.23 - Editorial: Diskussion um UKW-Abschaltung völlig unnötig
15.10.23 - Editorial: Darum muss das Handy zwingend geschützt sein
25.06.23 - Editorial: Das muss bei der eSIM künftig besser laufen
29.05.23 - Glasfaser: Angst vor strategischem Überbau
16.04.23 - Warum ein Ende von DVB-T2 HD fahrlässig wäre
19.03.23 - Editorial: Warum Amazon gegen Roku und Google gewinnt
05.03.23 - Editorial: freenet wirft Kunden Tarifwechsel-Faulheit vor?
12.02.23 - Editorial: Kurswechsel bei RTL unausweichlich
15.01.23 - Mobilfunk: Mehr Wettbewerb ist nötig
01.01.23 - Editorial: Trotziger 1&1-Netzstart - Enttäuschung zu erwarten
18.12.22 - Editorial: Bringt Werbung für Disney+ die Wende?
06.11.22 - Editorial: Prime Music kaputt - Amazon als Kulturbanause?
23.10.22 - Editorial: Huawei - Technik vs. Politik
25.09.22 - Editorial: Wende im Mobilfunkmarkt?
18.09.22 - Editorial: Alles muss vernetzt sein?
31.07.22 - Editorial: Wer braucht noch Fernsehen?
24.07.22 - Editorial: Viel Wind um "Nichts"
18.07.22 - "Gemeine Schnittstellen": Zusätzliche Abwehrstrategien geboten
19.06.22 - Editorial: Warum findet die BNetzA teure Drossel-Tarife toll?
12.06.22 - Editorial: StreamOn- & Vodafone-Pass-Ersatz? Das war nix!
05.06.22 - Editorial: Gebrauchtes Handy? Ja, aber bitte neue Software!
22.05.22 - Editorial: EDGE statt 5G SA - Realität vs. Vodafone-Werbung
15.05.22 - Editorial: Streit um UHF-Frequenzen - Kompromisse möglich
01.05.22 - Nach StreamOn-Aus: Die harte Daten-Drossel muss weg
19.04.22 - Neuer Vodafone-Chef: Zeit für echten Wandel?
27.03.22 - Editorial: Es gibt keine Höhepunkte mehr
20.03.22 - Vier Netze in Deutschland: Wie lange wird das so bleiben?
06.03.22 - Editorial: Wir brauchen eine neue Bundesnetzagentur
27.02.22 - Editorial: Wann kommt das nächste große Ding?
20.02.22 - Editorial: Wer zahlt?
13.02.22 - Editorial: Drohen ja, abschalten nein
06.02.22 - Editorial: Integrieren statt Abschalten
30.01.22 - Editorial: Längere Smartphone-Lebensdauer!?
23.01.22 - Editorial: 5G verhindert Chemtrails
16.01.22 - Editorial: App statt Bank!?
09.01.22 - Editorial: 600 Millionen Euro Verlust!?
02.01.22 - Editorial: Weg von Weihnachten!
26.12.21 - Editorial: Zahlen wird teurer