ID, Passwort, PIN, manchmal auch TAN sind seit Jahren zuverlässige Begleiter von uns allen, wenn es um Zugangsdaten zu unseren Accounts bei unterschiedlichen Anbietern geht. Wenn wir Glück haben dann reicht das sehr häufig, um den Zugang auf unsere Daten zu sichern.
Glück deswegen, da Webseiten wie “Have I been pawned” und das Hasso-Plattner-Institut sehr deutlich machen, daß die Anbieter die ihnen anvertrauten Zugangsdaten nicht sicher aufbewahren. Kriminelle stehlen diese bereits häufig. Entweder konnte auf Passwörter im Klartext zugegriffen werden, oder auf verschlüsselte (“salted”) Zugriffsdaten. Auf der folgenden Seite (https://sec.hpi.de/ilc/statistics) kann man sehen welche Leaks wann bekannt geworden sind und wieviel Accountzugangsdaten gestohlen worden sind.
Diese Accountzugangsdaten zirkulieren im Darknet und werden für die Übernahme von Identitäten oder die kommerzielle Ausnutzung von Kunden verwendet.
Es ist demnach unerlässlich starke Passwörter zu haben, diese regelmäßig zu ändern, und vor allem die Sicherheitsmechanismen der Anbieter zu hinterfragen.
Ich persönlich wähle nur noch Anbieter aus, die Zweifaktor-Authentifizierung anbieten und aktiviere diese dann auch sofort.
Könnt ihr euch noch an Sicherheitsfragen erinnern, die ihr sehr häufig für die Entsperrung von gesperrten Zugängen seht? Und wie einfach Angreifer die Fragen durch Social Engineering beantworten können? Leider haben viele Anbieter noch diesen Mechanismus. Ich nutze die Möglichkeit völlige Nonsense-Antworten zu hinterlegen. Damit ich diese im Notfall noch weiß, notiere ich mir Frage und Antwort in einem Passwortmanager.
Horrorszenarien
Das typische Horrorszenario beginnt eigentlich immer, wenn man die Mitteilung erhält, daß das eingegebene Passwort nicht mehr richtig ist. Natürlich glaubt man erst an einen Eingabefehler. Das ist nicht ungewöhnlich, da man sich ja starke Passwörter erstellen soll. Die beinhalten mindestens 10 Stellen, bestehend aus Ziffern, Groß- und Kleinbuchstaben, Sonderzeichen in willkürlicher Reihenfolge und am Besten nicht in einem Lexikon vorkommend.
Mit diesem Passwort ist man schon relativ sicher, aber KIs können komplizierte Passwörter knacken. Vor allem auch mit brutaler Rechenpower. Dann ist der Zugang offen und der Angreifer kann von diesem Account aus testen, ob er weitere Dienste mit dieser Kombination von User ID und Passwort übernehmen kann. Innerhalb kürzester Zeit ist das Passwort geändert und die Accounts sind für den Anwender gesperrt.
Eine wichtige Rolle spielen dabei die Email-Accounts, da diese verwendet werden, um den Anwender über Zugriffe auf seine Accounts zu informieren, wie z.B. daß ein Zugriff von einem fremden Browser auf diesen Account erfolgt ist, oder das Passwort geändert wurde. Sehr häufig wird auch ein Ersatzpasswort für den Account an die hinterlegte Email gesandt.
Wenn dieser Email-Account übernommen wurde, dann ist für den Angreifer die Grundlage gelegt, daß er relativ ungestört das soziale Umfeld, die genutzten Services und die Persönlichkeit des Nutzers und sein Verhalten untersuchen kann. Die Identität ist damit gestohlen.
Dies kann sehr schlimme Auswirkungen haben: sowohl finanzielle, als auch soziale. Mittlerweile machen wir fast alles digital und wenn ein solches zentrales Email-Konto übernommen wurde, können viele Services auf Smartphones, Tablets oder Computer nicht mehr sicher genutzt werden.
Was tun, wenn meine Identität gestohlen wurde?
Der erste und wichtigste Schritt ist natürlich, daß man sein zentrales Email-Konto wieder übernimmt. Man muß dies dem Anbieter unverzüglich anzeigen und mit diesem in Kontakt treten. Jeder Anbieter hat dahinter natürlich eigene, unterschiedliche Prozesse, aber wenn alles gut geht, dann hat man den Angreifer mit Hilfe des Anbieters wieder ausgesperrt.
Wichtig ist es dann auch, alle Services, die dieselbe Kombination von User ID und Passwort verwenden, ebenfalls zu prüfen, ob diese Accounts übernommen worden sind. Genauso wie beim Email-Anbieter muß man diese Anbieter ebenfalls kontaktieren und eine Rückübertragung auf sich beantragen. Bei solchen Anbietern kann man meistens die Zugangsdaten komplett ändern und auch andere Email-Adressen hinterlegen. Gerade bei Finanzaccounts wie PayPal oder der Hausbank ist das natürlich kritisch. Aber auch bei Social Media Services wie Facebook und Twitter können die Zugangsdaten so geändert werden, daß man nicht mehr auf seinen Account zugreifen kann. Gerade bei Social Media kann der Angreifer das Social Engineering über den angegriffenen User auf die Spitze treiben. Alle wissenswerten Informationen liegen auf dem Präsentierteller.
Unnötig zu sagen, daß man eine User ID/Passwort-Kombination NIE, NIE, NIE, NIE für mehrere Accounts verwenden sollte.
Verwendung eines Passwortmanagers
Ein Passwortmanager wie z.B. 1Password hilft einem sichere Passwörter zu erstellen, diese jederzeit im Zugriff zu haben, einen Überblick über alle erstellten Accounts zu haben, weitere Informationen wie Sicherheitsfragen, verwendete 2FA-Apps, zu hinterlegen.
Natürlich sind gerade Passwortmanager eines der am meisten gefährdeten Ziele eines Users. Deshalb würde ich empfehlen nur solche Passwortmanager zu verwenden, die nicht zwingend die Ablage seiner Passworte in der Cloud erfordern. Ich persönlich habe auf meinem Mac eine lokale Kopie meiner Passwort-Datenbank, und meine beiden iOS-Devices gleichen die Datenbestände nur über das lokale WLAN ab. Auch ist ein starkes Masterpasswort zum Passwortmanager unbedingt erforderlich. Dieses sollte auch nirgendwo digital abgelegt werden.
2FA – warum Zweifaktor-Authentifizierung?
Man muss es den Angreifern ja nicht allzu leicht machen. Wenn der erste Sicherheitsfaktor (das Passwort) geknackt ist, dann ist es doch schön, wenn der Hacker beim zweiten Sicherheitsfaktor aufgehalten wird.
Es gibt mehrere Mechanismen der Zweifaktor-Authentifizierung, die angewendet werden. Banken haben früher große Blöcke von TAN (TransAktionsNummern) für die Bankkunden ausgedruckt und jegliche Transaktion, wie z.B. Passwortänderung, Überweisung musste mit einer eindeutigen TAN autorisiert werden. Das war früher sehr sicher, solange man das Blatt mit den TANs sicher verwahrt hatte. Aber komfortabel war es nicht und wurde im Zuge von Banking-Apps dann auch über SMS-TANs umgesetzt.
Aber die SMS-TANs sind in Verruf geraten, da Angreifer mittlerweile auch Wege gefunden haben wie man eine Kopie der Telefon-SIM eines Users bekommen kann. Damit ist es möglich die komplette Kommunikation des Users zu verfolgen und kann diese SMS-TANs abfangen und für eigene Zwecke verwenden. Bei Apple ist es sogar noch kritischer, da eine SMS-TAN auch auf einem Mac als Nachricht erscheint. Dafür ist nicht mal die Erschleichung der Telefon-SIM erforderlich, es muss nur der Rechner übernommen werden. Gerade Macs sind sehr leicht angreifbar, da auf diesen Systemen keine Virenscanner installiert sind.
Token sind auch beliebt, entweder als Device für den Schlüsselbund oder auch in Form von USB-Sticks.
Authentifizierung-Apps
Die nächste Art von 2FA sind Authentifizierungs-Apps. Ein Blick in den iOS App Store zeigt auf, wieviele Anbieter mittlerweile 2FA-Apps auf den Markt gebracht haben.
Und wieviele habe ich bereits auf meinem Smartphone, damit ich mich bei unterschiedlichen Diensten überhaupt anmelden kann?
- Mail.de Authenticator für mein Email-Postfach
- Microsoft Authenticator für mein Firmenemail-Postfach und mein privates Email-Postfach für live.de
- Citrix Authenticator für Zugriff auf mein Email-Postfach bei meinem Kunden
- McAfee Authenticator für Zugriff auf Firmenresourcen
- WordPress-App für Zugriff auf meinen WordPress.com-Account
- Unterschiedliche Banken mit ihren 2FA-Apps zum Zugriff auf meine Bankkonten
Und die Liste geht beliebig weiter. Mehrere Dutzend 2FA-Apps sind mittlerweile verfügbar.
Zum Glück kristallisieren sich auch ein paar zentrale Anbieter heraus, die für unterschiedlichste Services für die 2FA genutzt werden können. Hier sind vor allem Google und Microsoft zu nennen.
Eine neue Form der 2FA-App ist die Photo TAN-App von Comdirect. Den Sinn habe ich nicht ganz verstanden, aber es funktioniert und wurde von Comdirect dadurch gepushed, indem man den Bankkunden für die SMS-TAN eine Gebühr von 7 Eurocent in Rechnung gestellt hat.
Fazit
Meine Zugangsdaten sind nicht sicher. Wie oben dargelegt, können sie mehr oder weniger leicht erbeutet werden. 2 Faktor-Authentifizierung ist das mindeste was man heute erwarten darf, wenn man einen Account im Digitalen Leben eröffnet bzw. schon erstellt hat. Daß es immer noch Anbieter gibt, die dies nicht unterstützen, ist unglaublich. Ich selbst mußte das mit meinem langjährigen Free-Email-Anbieter GMX erleben. Es ist fahrlässig, daß es 2FA nicht für das kostenlose Angebot gibt. Daß es 2FA aber nicht mal für das kostenpflichtige Angebot gibt, sagt viel über das Sicherheitsbewußtsein von GMX und seiner Mutter, United Internet, aus.
Dies war auch für mich der Auslöser auf mail.de umzusteigen, die 2FA auch beim kostenlosen Service anbieten. Daraufhin habe ich in meiner Passwort-App all die Services identifiziert, die Emails noch an meine gmx-Adresse senden, und die wichtigsten auf mail.de umgestellt. Bei wichtigen Services habe ich 2FA aktiviert und für Notfälle auch die Sicherheitsfragen nochmal überprüft, ob diese im Rahmen von Social Engineering leicht beantwortet werden könnten. Ich habe meine Email-Adressen bei hpi untersucht und bei allen auffälligen Services die Zugangsdaten geändert. Darüberhinaus habe ich auch sichergestellt, daß jedes Passwort gut ist und eindeutig für jeden Service. Das ist das mindeste, was man heute als Privatanwender machen kann, wenn man im Digitalen Leben seine Identität behalten will.
Update 28.4.2020: nach einer Recherche für einen anderen Artikel konnte ich feststellen, daß GMX sei Juni 2019 auch 2FA hat. Dieses habe ich nun sofort aktiviert.
