Datenschutz

Editorial: Der allgegenwärtige Datenklau

Persönliche Daten von Politikern und Milliarden Passwörter im Netz: Was können wir für mehr Datensicherheit tun?
Von

Der allgegenwärtige Datenklau Der allgegenwärtige Datenklau
Bild: dpa
Wenn ich meine meistverwendete E-Mail-Adresse auf haveibeenpwned.com eingebe, werden nicht ein oder zwei Datendiebstähle angezeigt, bei denen Accounts mit dieser E-Mail-Adresse kompromittiert worden sind, sondern gleich ein halbes Dutzend. Angesichts dessen, dass ich bei einer Vielzahl von Diensten angemeldet bin, und selbst große Internet- und Software-Unternehmen wie Adobe, Amazon, eBay, Facebook, Google oder Yahoo in der Vergangenheit von Datenlecks betroffen waren, verwundert die Zahl jedoch nicht. In einer Liste auf der englischsprachigen Wikipedia werden beispielsweise eine halbe Milliarde Datensätze aufgeführt, die 2018 bei der Marriott-Hotelkette "verloren" gegangen und dann im allgemeinen Internet "wiedergefunden" worden sind, oder 100 Millionen Datensätze beim Frage- und Antwort-Portal Quora.

Auch die letztes Jahr mit viel öffentlicher Mediendiskussion eingeführte DSGVO hat nichts bis wenig daran geändert, dass im Internet munter weiter gehackt wird. Unternehmen müssen zwar nun besser dokumentieren, welche Daten sie erfassen, wofür sie diese verwenden, oder mit welchen anderen Unternehmen sie diese im Rahmen von Geschäftsprozessen teilen. Doch bieten die Behörden weiterhin kaum oder keine Unterstützung bei der Absicherung von Websites gegen Passwortklau.

Weltweit investieren alle entwickelten Staaten erhebliche Gelder in die öffentliche Sicherheit. Sie unterhalten beispielsweise Polizei und Militär zur Gefahrenabwehr oder legen Depots für Trinkwasser, Nahrung und Energieträger wie Öl, Gas und Kohle an. Doch bei der Datensicherheit und IT-Sicherheit verlassen sich dieselben Staaten komplett auf kommerzielle Anbieter und Industriestandards, obwohl diese nachweislich in den letzten Jahren versagt haben. Die wenigen Projekte, bei denen Behörden die IT-Verwaltung und somit auch die IT-Sicherheit in eigene Hände nehmen, wie LiMux in München, fristen ein Nischendasein oder wurden mittlerweile wieder eingestellt.

Kaum Aufmerksamkeit in den Medien

Der allgegenwärtige Datenklau Der allgegenwärtige Datenklau
Bild: dpa
Die öffentliche Untätigkeit beim Datenschutz könnte auch damit zu tun haben, dass die Medien und die Öffentlichkeit den alltäglichen Datenklau kaum noch wahrnehmen. Als letztes Jahr ein Twitter-Account am 1. Dezember damit begann, als "Adventskalender" persönliche Daten von Politikern zu veröffentlichen, dauerte es dennoch bis nach Weihnachten, bis es darüber zur öffentlichen Empörung kam und der Account gesperrt wurde. Danach fand die Polizei binnen weniger Tage den dahinterstehenden Hacker. Kann man den Angaben zum Hacker glauben, handelt es sich um ein klassisches "Script Kiddie", das nicht so sehr aufgrund eigener Genialität an die Daten kam, sondern das einfach bestehende, im Netz verfügbare Angriffsskripte kombinierte.

Die öffentliche Empörung richtet sich zudem anscheinend mehr gegen den Hacker, der sich Zugang verschaffte, als gegen die Unternehmen, die die Daten nicht ausreichend absicherten. Dabei gilt: Wenn die Accounts von Politikern gehackt werden können, dann können die Accounts von "normalen" Bürgern erst recht gehackt werden. Und damit auch die Accounts von Ärzten, Apothekern, Firmenleitern, Kriminalpolizisten oder Rechtsanwälten. Alles Accounts, von denen wir als Gesellschaft eigentlich genau nicht wollen, dass die Bad Guys daraus Daten lesen können.

Das Problem beginnt bereits mit den Passwörtern

Unsere IT-Sicherheitsinfrastruktur beruht zu einem Großteil auf dem Schutz durch Passwörter. Zwar speichern nur sehr wenige Websites die Nutzerpasswörter unverschlüsselt. Doch sind Computer inzwischen so schnell, dass binnen Stunden nach einem Datenhack ein erheblicher Teil der Passwörter bereits durch stupides Durchprobieren rekonstruiert worden ist. Und damit sind jetzt nicht nur Passwörter wie "123456" oder "geheim" betroffen, sondern eben auch "vEr:3ckt".

Im Bitcoin-Netzwerk werden für das Mining aktuell 40 Exahashes pro Sekunde durchgeführt. Ein acht Zeichen langes Passwort, bei dem wirklich alle Zeichen komplett zufällig gewählt worden sind, wird von derartig geballter Mining-Power in unter einer Sekunde geknackt. Im Worst Case sind für 8 Byte nämlich "nur" 18,5 Exahashes nötig, im Durchschnitt reicht bereits die Hälfte, bis das Passwort gefunden wurde. Wird nun der Wertebereich der im Passwort verwendeten Zeichen dadurch eingeschränkt, dass nur ASCII-Zeichen ohne Umlaute und ohne Leerzeichen verwendet werden, sinkt die nach einem Datendiebstahl zum Knacken benötigte Hashleistung bereits auf 0,006 Exahash. Kommen weitere Hinweise hinzu, wie etwa der, dass Passwörter meist phonetische Silben als Bestandteil haben (wie im obigen Beispiel "vEr" oder "ckt"), sinkt die nötige Hashleistung abermals um den Faktor tausend, und damit in den Bereich, in dem man zum Knacken kein großes Rechnernetzwerk, sondern nur noch einen einzelnen Computer benötigt.

Auch die gängige Anweisung, Passwörter mit je mindestens einem Kleinbuchstaben, einem Großbuchstaben, einer Ziffer und einem Sonderzeichen zu versehen, drückt die benötigte Hashleistung noch weiter. Denn der Angreifer weiß nun, dass diese Zeichen vorkommen, und aus vergangenen Passwort-Cracks kennen die Angreifer die Positionen, an denen diese Zeichen bevorzugt eingesetzt werden, und in welchen Kombinationen sie zumeist vorkommen. Sind dann gar noch Passwörter des Nutzers aus früheren Hacks bekannt lassen sich daraus oft Hinweise für die Passwörter bei der neuen Site ableiten.

Das Fazit ist, dass Passwörter erst ab einer Länge, ab der man sie sich garantiert nicht mehr merken kann, einigermaßen in der Lage sind, dem Dehashing nach einem Datendiebstahl zu widerstehen. Man ist also gezwungen, sich Passwörter aufzuschreiben oder im Computer zu speichern. Doch damit wird das Problem der Passwortsicherheit nur verschoben, nicht gelöst: Seit Spectre und Meltdown ist der Passwort-Speicher im Browser genauso unbrauchbar wie der Passwort-Hash eines merkbaren Passworts in der Datenbank eines Website-Betreibers. Und nein, komplexere Hash-Algorithmen bringen wenig oder sind gar kontraproduktiv, weil sie bei den Good Guys (den Websites, die die Passwörter ihrer Nutzer prüfen) mehr Rechenkapazität binden als bei den Bad Guys (die mit spezialisierter Hardware auf die Passwörter losgehen). Bei der Kryptowährung Ethereum dachte man auch, die Mining-ASICs mit einem komplexen Hash austricksen zu können, bis der Antminer E3 auf den Markt kam.

Der Sicherheitsexperte Troy Hunt gab jüngst an, dass Verzeichnisse mit über 2 Milliarden Kombinationen aus E-Mail-Adressen und geknackten Passwörtern im Internet zirkulieren. Damit kommen auf zwei Internetnutzer weltweit ein gehacktes Passwort. Das Problem ist wirklich universell.

Warum nicht SIM-Karten?

Es gibt weltweit über 8 Milliarden Handyverträge, doch die Zahl der gehackten Mobilfunkverträge ist weit, weit geringer als die Zahl der gehackten Internet-Accounts. SIM-Karten sind vielfach sicherer als Passwörter. Wenn Hehler geklaute Handys ankaufen, machen sie sich meist die Mühe, die auf dem Handy registrierten Accounts zu hacken, um das Handy zurücksetzen zu können. Die SIM-Karte werfen sie hingegen weg.

Technologisch wäre es mit geringem Aufwand machbar, die SIM-Karte um Funktionen zu erweitern, so dass sich Internet-Accounts mit der SIM-Karte verbinden lassen. Der Login wäre dann zwar etwas komplizierter, weil auch die Server des jeweiligen Netzbetreibers benötigt werden. Dafür gäbe es nicht mehr die Möglichkeit, an einem zentralen Punkt alle für den Login nötigen Daten abgreifen zu können. Die meisten klassischen Hacks würden also ins Leere laufen. Wenn der politische Wille da wäre, dann könnte das Internet viel sicherer werden, als es heute ist.

Weitere Editorials