ID, Passwort, PIN, manchmal auch TAN sind seit Jahren zuverlĂ€ssige Begleiter von uns allen, wenn es um ZugĂ€nge zu unseren Accounts bei unterschiedlichen Anbietern geht. Wenn wir GlĂŒck haben dann reicht das sehr hĂ€ufig, um den Zugang auf unsere Daten zu sichern.
GlĂŒck deswegen, da Webseiten wie „Have I been pawned“ und das Hasso-Plattner-Institut sehr deutlich machen, daĂ die bei den Anbietern hinterlegten Zugangsdaten nicht sicher aufbewahrt werden, und bereits hĂ€ufig gestohlen worden sind. Entweder konnte auf Passwörter im Klartext zugegriffen werden, oder auf verschlĂŒsselte („salted“) Zugriffsdaten. Auf der folgenden Seite (https://sec.hpi.de/ilc/statistics) kann man sehen welche Leaks wann bekannt geworden sind und wieviel Accountzugangsdaten gestohlen worden sind.
Diese Accountzugangsdaten zirkulieren im Darknet und werden fĂŒr die Ăbernahme von IdentitĂ€ten oder die kommerzielle Ausnutzung von Kunden verwendet.
Es ist demnach unerlĂ€sslich starke Passwörter zu haben, diese regelmĂ€Ăig zu Ă€ndern, und vor allem die Sicherheitsmechanismen der Anbieter zu hinterfragen.
Ich persönlich wÀhle nur noch Anbieter aus, die Zweifaktor-Authentifizierung anbieten und aktiviere diese dann auch sofort.
Könnt ihr euch noch an Sicherheitsfragen erinnern, die sehr hĂ€ufig fĂŒr die Entsperrung von gesperrten ZugĂ€ngen abgefragt werden? Und wie einfach die Fragen durch Social Engineering von Angreifern beantwortet werden können? Leider haben viele Anbieter noch diesen Mechanismus. Ich nutze die Möglichkeit völlige Nonsense-Antworten zu hinterlegen. Damit ich diese im Notfall noch weiĂ, notiere ich mir Frage und Antwort in einem Passwortmanager.
Horrorszenarien
Das typische Horrorszenario beginnt eigentlich immer, wenn man die Mitteilung erhĂ€lt, daĂ das eingegebene Passwort nicht mehr richtig ist. NatĂŒrlich glaubt man erst an einen Eingabefehler. Das ist nicht ungewöhnlich, da man sich ja starke Passwörter erstellen soll. Die beinhalten mindestens 10 Stellen, bestehend aus Ziffern, GroĂ- und Kleinbuchstaben, Sonderzeichen in willkĂŒrlicher Reihenfolge und am Besten nicht in einem Lexikon vorkommend. Mit diesem Passwort ist man schon relativ sicher, aber auch komplizierte Passwörter können mit KI und brutaler Rechenpower geknackt werden. Dann ist der Zugang offen und der Angreifer kann von diesem Account aus testen, ob weitere Dienste mit dieser Kombination von User ID und Passwort ĂŒbernommen werden können. Innerhalb kĂŒrzester Zeit ist das Passwort geĂ€ndert und die Accounts sind fĂŒr den Anwender gesperrt.
Eine wichtige Rolle spielen dabei die Email-Accounts, da diese verwendet werden, um den Anwender ĂŒber Zugriffe auf seine Accounts zu informieren, wie z.B. daĂ ein Zugriff von einem fremden Browser auf diesen Account erfolgt ist, oder das Passwort geĂ€ndert wurde. Sehr hĂ€ufig wird auch ein Ersatzpasswort fĂŒr den Account an die hinterlegte Email gesandt.
Wenn dieser Email-Account ĂŒbernommen wurde, dann ist fĂŒr den Angreifer die Grundlage gelegt, daĂ er relativ ungestört das soziale Umfeld, die genutzten Services und die Persönlichkeit des Nutzers und sein Verhalten untersuchen kann. Die IdentitĂ€t ist damit gestohlen.
Dies kann sehr schlimme Auswirkungen haben: sowohl finanzielle, als auch soziale. Mittlerweile machen wir fast alles digital und wenn ein solches zentrales Email-Konto ĂŒbernommen wurde, können viele Services auf Smartphones, Tablets oder Computer nicht mehr sicher genutzt werden.
Was tun, wenn meine IdentitÀt gestohlen wurde?
Der erste und wichtigste Schritt ist natĂŒrlich, daĂ man sein zentrales Email-Konto wieder ĂŒbernimmt. Man muĂ dies dem Anbieter unverzĂŒglich anzeigen und mit diesem in Kontakt treten. Jeder Anbieter hat dahinter natĂŒrlich eigene, unterschiedliche Prozesse, aber wenn alles gut geht, dann hat man den Angreifer mit Hilfe des Anbieters wieder ausgesperrt.
Wichtig ist es dann auch, alle Services, die dieselbe Kombination von User ID und Passwort verwenden, ebenfalls zu prĂŒfen, ob diese Accounts ĂŒbernommen worden sind. Genauso wie beim Email-Anbieter muĂ man diese Anbieter ebenfalls kontaktieren und eine RĂŒckĂŒbertragung auf sich beantragen. Bei solchen Anbietern kann man meistens die Zugangsdaten komplett Ă€ndern und auch andere Email-Adressen hinterlegen. Gerade bei Finanzaccounts wie PayPal oder der Hausbank ist das natĂŒrlich kritisch. Aber auch bei Social Media Services wie Facebook und Twitter können die Zugangsdaten so geĂ€ndert werden, daĂ man nicht mehr auf seinen Account zugreifen kann. Gerade bei Social Media kann der Angreifer das Social Engineering ĂŒber den angegriffenen User auf die Spitze treiben. Alle wissenswerten Informationen liegen auf dem PrĂ€sentierteller.
Unnötig zu sagen, daĂ man eine User ID/Passwort-Kombination NIE, NIE, NIE, NIE fĂŒr mehrere Accounts verwenden sollte.
Ein Passwortmanager wie z.B. 1Password hilft einem sichere Passwörter zu erstellen, diese jederzeit im Zugriff zu haben, einen Ăberblick ĂŒber alle erstellten Accounts zu haben, weitere Informationen wie Sicherheitsfragen, verwendete 2FA-Apps, zu hinterlegen.
NatĂŒrlich sind gerade Passwortmanager eines der am meisten gefĂ€hrdeten Ziele eines Users. Deshalb wĂŒrde ich empfehlen nur solche Passwortmanager zu verwenden, die nicht zwingend die Ablage seiner Passworte in der Cloud erfordern. Ich persönlich habe auf meinem Mac eine lokale Kopie meiner Passwort-Datenbank, und meine beiden iOS-Devices gleichen die DatenbestĂ€nde nur ĂŒber das lokale WLAN ab. Auch ist ein starkes Masterpasswort zum Passwortmanager unbedingt erforderlich. Dieses sollte auch nirgendwo digital abgelegt werden.
2FA – warum Zweifaktor-Authentifizierung?
Man muss es den Angreifern ja nicht allzu leicht machen. Wenn der erste Sicherheitsfaktor (das Passwort) geknackt ist, dann ist es doch schön, wenn der Hacker beim zweiten Sicherheitsfaktor aufgehalten wird.
Es gibt mehrere Mechanismen der Zweifaktor-Authentifizierung, die angewendet werden. Banken haben frĂŒher groĂe Blöcke von TAN (TransAktionsNummern) fĂŒr die Bankkunden ausgedruckt und jegliche Transaktion, wie z.B. PasswortĂ€nderung, Ăberweisung musste mit einer eindeutigen TAN autorisiert werden. Das war frĂŒher sehr sicher, solange man das Blatt mit den TANs sicher verwahrt hatte. Aber komfortabel war es nicht und wurde im Zuge von Banking-Apps dann auch ĂŒber SMS-TANs umgesetzt.
Aber die SMS-TANs sind in Verruf geraten, da Angreifer mittlerweile auch Wege gefunden haben wie man eine Kopie der Telefon-SIM eines Users bekommen kann. Damit ist es möglich die komplette Kommunikation des Users zu verfolgen und kann diese SMS-TANs abfangen und fĂŒr eigene Zwecke verwenden. Bei Apple ist es sogar noch kritischer, da eine SMS-TAN auch auf einem Mac als Nachricht erscheint. DafĂŒr ist nicht mal die Erschleichung der Telefon-SIM erforderlich, es muss nur der Rechner ĂŒbernommen werden. Gerade Macs sind sehr leicht angreifbar, da auf diesen Systemen keine Virenscanner installiert sind.
Token sind auch beliebt, entweder als Device fĂŒr den SchlĂŒsselbund oder auch in Form von USB-Sticks.
Die nÀchste Art von 2FA sind Authentifizierungs-Apps. Ein Blick in den iOS App Store zeigt auf, wieviele Anbieter mittlerweile 2FA-Apps auf den Markt gebracht haben.
Und wieviele habe ich bereits auf meinem Smartphone, damit ich mich bei unterschiedlichen Diensten ĂŒberhaupt anmelden kann?
- Mail.de Authenticator fĂŒr mein Email-Postfach
- Microsoft Authenticator fĂŒr mein Firmenemail-Postfach und mein privates Email-Postfach fĂŒr live.de
- Citrix Authenticator fĂŒr Zugriff auf mein Email-Postfach bei meinem Kunden
- McAfee Authenticator fĂŒr Zugriff auf Firmenresourcen
- WordPress-App fĂŒr Zugriff auf meinen WordPress.com-Account
- Unterschiedliche Banken mit ihren 2FA-Apps zum Zugriff auf meine Bankkonten
Und die Liste geht beliebig weiter. Mehrere Dutzend 2FA-Apps sind mittlerweile verfĂŒgbar.
Zum GlĂŒck kristallisieren sich auch ein paar zentrale Anbieter heraus, die fĂŒr unterschiedlichste Services fĂŒr die 2FA genutzt werden können. Hier sind vor allem Google und Microsoft zu nennen.
Eine neue Form der 2FA-App ist die Photo TAN-App von Comdirect. Den Sinn habe ich nicht ganz verstanden, aber es funktioniert und wurde von Comdirect dadurch gepushed, indem man den Bankkunden fĂŒr die SMS-TAN eine GebĂŒhr von 7 Eurocent in Rechnung gestellt hat.
Fazit
Meine Zugangsdaten sind nicht sicher. Wie oben dargelegt, können sie mehr oder weniger leicht erbeutet werden. 2 Faktor-Authentifizierung ist das mindeste was man heute erwarten darf, wenn man einen Account im Digitalen Leben eröffnet bzw. schon erstellt hat. DaĂ es immer noch Anbieter gibt, die dies nicht unterstĂŒtzen, ist unglaublich. Ich selbst muĂte das mit meinem langjĂ€hrigen Free-Email-Anbieter GMX erleben. Es ist fahrlĂ€ssig, daĂ es 2FA nicht fĂŒr das kostenlose Angebot gibt. DaĂ es 2FA aber nicht mal fĂŒr das kostenpflichtige Angebot gibt, sagt viel ĂŒber das SicherheitsbewuĂtsein von GMX und seiner Mutter, United Internet, aus. Dies war auch fĂŒr mich der Auslöser auf mail.de umzusteigen, die 2FA auch beim kostenlosen Service anbieten. Daraufhin habe ich in meiner Passwort-App all die Services identifiziert, die Emails noch an meine gmx-Adresse senden, und die wichtigsten auf mail.de umgestellt. Bei wichtigen Services habe ich 2FA aktiviert und fĂŒr NotfĂ€lle auch die Sicherheitsfragen nochmal ĂŒberprĂŒft, ob diese im Rahmen von Social Engineering leicht beantwortet werden könnten. Ich habe meine Email-Adressen bei hpi untersucht und bei allen auffĂ€lligen Services die Zugangsdaten geĂ€ndert. DarĂŒberhinaus habe ich auch sichergestellt, daĂ jedes Passwort gut ist und eindeutig fĂŒr jeden Service. Das ist das mindeste, was man heute als Privatanwender machen kann, wenn man im Digitalen Leben seine IdentitĂ€t behalten will.
Update 28.4.2020: nach einer Recherche fĂŒr einen anderen Artikel konnte ich feststellen, daĂ GMX sei Juni 2019 auch 2FA hat. Dieses habe ich nun sofort aktiviert.
2 Kommentare