Soziale Netzwerke, Online-Shops oder E-Mail-Anbieter: Jeder ist bei diversen Online-Diensten angemeldet, wo er mehr oder weniger sensible Daten hinterlegt hat. Es ist die Aufgabe des Anbieters, diese Daten zu schützen. Dass das nicht immer einfach ist, wird spätestens dann deutlich, wenn Hacker in die Systeme eindringen.
Jeder von uns vertraut früher oder später einem externen Dienstleister im Internet sensible Daten an. Namen und E-Mail-Adressen zählen da noch zu den harmloseren Datensätzen, aber bei Online-Shops wird mindestens noch eine (gültige) Post-Adresse benötigt, was die Sache für Angreifer schon wieder interessant macht. Oftmals werden auch gleich Zahlungsmethoden hinterlegt wie Kreditkartendaten. Mithilfe diverser Passwort-vergessen-Funktionen ist des Weiteren ein Zugang zu einem E-Mail-Postfach eine beliebte Beute.
Der Anbieter in der Pflicht
Es ist die Aufgabe des Dienst-Anbieters, die Daten seiner Anwender so gut wie möglich zu schützen. Das sollte selbstverständlich dabei beginnen, dass die Kommunikation zwischen Anwender und Dienstleister verschlüsselt via HTTPS stattfindet. Aber auch auf dem Server des Anbieters kann einiges für die Sicherheit der Daten getan werden. Dass keine Sicherheitslücken in der Software vorhanden sein sollten, ist dabei leichter gesagt als getan. Um hier einen Standard an Sicherheit zu schaffen, gibt es diverse Dienstleister wie Blue Frost Security, die sich darauf spezialisiert haben, IT-Systeme auf mögliche Schwachstellen zu untersuchen und Tipps zu geben, wie man sie beseitigen kann.
Moderne Technologien können helfen
In den letzten Jahren haben sich immer mal wieder neue Techniken eingeschlichen, die die Daten schützen sollen. Für Passwort-vergessen-Funktionen ist eine geheime Frage samt Antwort schon lange etabliert – der Schutz des Login-Formulars hingegen ist erst relativ neu. Durch Bruteforce-Angriffe – wobei der Angreifer zunächst aber nur den Benutzernamen oder die E-Mail-Adresse kennen muss – kann das Passwort aber erraten werden, wenn der Anbieter nichts dagegen tut. Dank Wörterbuchattacken und häufig relativ einfache Passwörter geht das ohne weiteren Schutz ziemlich schnell. Eine Lösung, die häufig zum Einsatz kommt, ist die schrittweise Verschärfung der Sicherheitsvorkehrungen bei der Anmeldung. Zunächst wird ein CAPTCHA hinzugeschaltet, dann die IP-Adresse eine bestimmte Zeit lang blockiert. Somit wird eine Bruteforce-Attacke schnell unattraktiv.
Eine weitere Möglichkeit ist die Authentifizierung in zwei Schritten. Hierbei neben dem regulären Login mit Benutzername und Passwort noch ein Code benötigt. Dieser wird über einen unabhängigen Kommunikationsweg (E-Mail, SMS oder App) verschickt und muss ebenfalls eingegeben werden.
Was tun, wenn die Hacker gewinnen?
Wenn die Meldung die Runde macht, dass Hacker erfolgreich einen Dienst gehackt haben, den man selbst verwendet, sollte der erste Schritt sein, überall dort die Passwörter zu ändern, wo dasselbe Passwort zum Einsatz kam. Am besten sollte man einen Passwort-Manager verwenden und kein Passwort recyceln – aber falls man das doch tut, ist eine Änderung angesagt. Denn man kann nicht sicher sein, wie der Dienstanbieter die Passwörter aufbewahrt. Einige speichern sie sogar im Klartext, was einem Angreifer sehr gelegen kommt, wenn er es auf vermeintlich nützliche Daten abgesehen hat. Doch auch, wenn ein Passwort-Hash gespeichert ist, kann man mit genügend Rechenleistung und in Abhängigkeit des Hash-Verfahrens mehr oder weniger schnell das Passwort rekonstruieren. Falls weitere sensible Daten wie Kreditkartendaten hinterlegt waren, sollte man die Abrechnungen, am besten via Online-Interface, im Auge behalten und Betrugsfälle der Bank melden.