Nach dem Hackerangriff

Offensichtlich wurden Prominente Opfer eines Hackerangriffs. Es wurden (gezielt?) Daten entwendet [1] und veröffentlicht. Zu einfach wäre es, zu glauben, dies sei kein Problem, das jeden treffen könnte. Gerade weil Daten von Menschen entwendet wurden, bei denen man davon ausgehen sollte, dass sie sensibler sind, was den Umgang mit Daten angeht, macht den Vorgang problematisch. Wenn Lücken, die genutzt wurden um an die Daten zu kommen, massenhaft automatisiert ausgenutzt wurden, könnte jeder Opfer solcher Attacken werden.

Was könnten also best practices sein, um dem vorzubeugen?

1. Sichere Passwörter

Am Anfang stehen sichere Passwörter. Phrasen also, die:

  • ausreichend lang (mindestens 12 Stellen)
  • aus großem Zeichenvorrat (Buchstaben, Zahlen, Sonderzeichen)
  • möglichst zufällig
  • einzigartig (ein Zugang – ein Passwort)

sind. Das Problem ist, dass man diese Passwörter verwalten muss. Sich solche Passwörter zu merken ist für die meisten Menschen wohl nicht möglich. Deshalb ist die gängigste Möglichkeit, einen Passwort-Safe anzulegen. Man legt alle Passwörter im Safe ab und sichert diesen mit einem starken Passwort, am beste. Mit 2-Faktor-Authentifizierung. Hierbei gibt es verschiedene Möglichkeiten. Kommerzielle Anbieter mit guter Reputation sind 1Password und LastPass. Die Dienste funktionieren einfach, sind auf allen Systemen verfügbar und integrieren sich in gängige Browser. Der Nachteil ist, dass die Software nicht zugänglich ist (closed source) und man letztlich nicht sicher sein kann, ob Hintertüren eingebaut sind. Einen Ausweg bietet KeePass, welches als Open Source Projekt entwickelt wird. Das bedeutet, dass der Quelltext einsehbar ist und prinzipiell viele Augen in diesen Quelltext schauen. Das Unterschieben einer Backdoor ist hier eher unwahrscheinlich.

2. 2-Faktor-Authentifizierung

Viele Dienste bieten eine solche zusätzliche Schranke an. Will man sich von einem neuen Gerät oder einer unbekannten Verbindung einwählen, muss man zusätzlich zum Passwort einen zusätzlichen Einmalcode (TAN) eingeben, der entweder per SMS oder Mail zugeschickt wird, oder mit einer speziellen Software (z.B. FreeOTP) generiert wird. Die Codes sind nur einmalig gültig und verfallen nach etwa einer Minute.

3. Sichere Cloudspeicher

Cloudspeicher sind ein großes Problem. Die Daten liegen eben nicht „in der Wolke“, sondern auf einem Computer, von dem man in der Regel nicht weiß, wo er steht, wer Zugang dazu hat und wie genau die Daten abgelegt sind. Einen Ausweg bietet nur eine Ende-zu-Ende-Verschlüsselung. Das bedeutet, dass die Daten auf dem Ausgangsrechner verschlüsselt werden und erst dann in die Cloud geladen werden. Anbieter solcher Cloudspeicher sind Tresorit (Schweiz) oder Luckycloud (Deutschland). Während Tresorit eine geschlossene Lösung einsetzt (die aber in diversen Audits zertifiziert wurde) setz Luckycloud auf die quelloffene Lösung Seafile.

4. Sichere Mails

Sicherer Mailverkehr ist gar nicht so einfach. Insbesondere, weil gesendete Mails ja auch beim Empfänger auf dem Account liegen. Allerdings kann man selbst schon einiges tun. Nach Snowden entstanden Mailanbieter, die Zero-Knowledge Accounts anbieten. Dabei hat der Anbieter keinerlei Möglichkeit, auf den Mailaccount des Benutzers zuzugreifen. Anbieter sind z.B. Posteo, Mailbox oder Tutanota.

5. Keine Google/Facebook-Logins nutzen

Viele Webseiten bieten an, dass man sich einfach mit seinem Google- oder Facebookkonto einloggen kann. Dadurch gewährt man den beiden Unternehmen unter Umständen auch Einblick in die Daten beim Drittanbieter und verliert Hoheit über seine Daten. Deshalb sollte man lieber den etwas komplizierteren Weg gehen und sich mit Mail und Passwort registrieren.

6. Auf sichere Messenger umsteigen

WhatsApp ist toll, weil man quasi jeden schnell erreicht. Allerdings gehört WhatsApp zu Facebook (ebenso wie Instagram) und tauscht munter Daten zwischen den Diensten aus. Obwohl Facebook zusichert, dass Chats E2E-verschlüsselt übertragen werden. Das ist jedoch mit Vorsicht zu genießen, wenn man die Entwicklung von Facebook betrachtet und bedenkt, dass auch FB unter den Patriot/Freedom Act fällt. Es gibt alternative Dienste, z.B. Signal, Wire oder Threema

7. US-Dienste sehr vorsichtig nutzen

Im Zuge von 9/11 wurde sehr schnell der PATRIOT Act verabschiedet, der 2015 teilweise durch den Freedom Act ersetzt wurde. Zusätzlich wurde durch Edward Snowden bekannt, wie die USA Kommunikation auf der ganzen Welt abgehört und aufgezeichnet haben. Es ist sehr wahrscheinlich, dass viele US-Unternehmen den Geheimdiensten Zugang zu Daten gewähren. Auch wenn man natürlich nicht sicher sein kann, dass solche Backdoors in europäischer Software nicht existieren ist diese, ob der strikteren Gesetze, vorzuziehen. Außerdem ist Open-Source-Software in der Regel Closed-Source-Lösungen vorzuziehen.

[1] https://www.sueddeutsche.de/news/service/internet-verdaechtiger-hacker-gesteht—motiv-aerger-ueber-politiker-dpa.urn-newsml-dpa-com-20090101-190108-99-481385

Titelbild: „Hacker, Diebe, Sensationen 330/365“ by Dennis Skley is licensed under CC BY-ND 2.0