25-3-2015 Gedruckt am 28-02-2017 aus www.monitor.co.at/index.cfm/storyid/16310

Identitäts- und Passwortklau: Was Sie dagegen tun können

Das Böse lauert immer und überall

Immer wieder schaffen es Cyberkriminelle, komplette Benutzerdatenbanken zu knacken, und gelangen so an Benutzernamen und Passwörter - siehe etwa Playstation Network. Aber welche Gefahren sind hiermit eigentlich für User genau verbunden und welche Wege gibt es, dem vorzubeugen? Welcher Umgang mit Passwörtern ist empfehlenswert und mit welchen Methoden können Sie Ihre Identität im Web vor Übergriffen schützen?

Wie schützen Sie sich gegen Identitäts- und Passwortklau im Internet. Foto: Bernd Kasper/pixelio.de

Die Nachricht über eine gehackte Datenbank scheint viele Benutzer erstaunlicherweise aber nicht weiter zu beunruhigen. Vor allem dann nicht, wenn der Betreiber in der Zwischenzeit reagiert hat und die Passwörter der User zurückgesetzt hat. Viele User vertrauen einfach darauf, dass der Betreiber alle nötigen Vorkehrungen getroffen hat, dass dem einzelnen Benutzer kein Schaden entsteht, und gehen beispielsweise davon aus, dass ein verantwortungsvoller Betreiber die Passwörter ja ohnehin nicht im Klartext abgelegt haben wird, sondern als Hash*. Was soll da schon passieren?

Ist ein gehashtes Passwort sicher?

Selbst wenn die Passwörter in der Datenbank als Hash abgelegt wurden, sollten User sich nicht zu sehr in Sicherheit wähnen. Das Problem: Auch wenn die Passwörter als Hash gespeichert wurden, hat der Hacker nun die Daten bei sich gespeichert und beliebig lange Zeit, die Passwörter zu knacken. Zwar ist es nach heutigem Stand der Technik noch nicht möglich, einen Hash automatisiert zurück in ein Passwort zu verwandeln, es ist aber denkbar, dass ein ambitionierter Hacker beispielsweise mithilfe diverser Programme versucht, den Hash in mehreren Teilen zu entschlüsseln. Etwa indem er die entsprechenden Programme verschiedene Buchstaben-, Zahlen- und Sonderzeichenkombinationen durchprobieren lässt. Ähnlich einem Einbrecher, der sich mit einem ganzen Bündel von Dietrichen an einem Schloss zu schaffen macht, und darauf setzt, dass eines der Werkzeuge schon passen wird. Aber warum ist das nun noch gefährlich, wenn der Betreiber die Passwörter zwischenzeitlich doch zurückgesetzt hat und diese Passwörter gar nicht mehr gültig sind?
 
Die Krux ist, dass die meisten Menschen Schwierigkeiten damit haben, sich viele verschiedene komplexe Passwörter parallel zu merken. Das ist auch der Grund, weshalb viele Internetnutzer lediglich eine kleine Anzahl verschiedener Passwörter bei diversen Internetdiensten und Portalen benutzen. Dadurch hat ein Hacker potenziell die Möglichkeit, einen größeren Schaden anzurichten oder kann im Extremfall sogar die komplette Identität eines Users kapern. Zwar kann sich der Kriminelle vielleicht nicht mehr bei dem einen Anbieter anmelden, dem er die Passwörter entwendet hat (sofern dieser schnell genug reagierte und die Passwörter zurücksetzen ließ), aber die erbeuteten Benutzernamen- und Passwortkombinationen ermöglichen vielleicht noch den Zutritt zu anderen Shops, Portalen etc.
 
Ein Beispiel: Angenommen, ein Benutzer hat dieselbe Kombination von Benutzername und Passwort sowohl beim gehackten Anbieter als auch bei einem weit verbreiteten Onlineshop wie Amazon oder Zalando im Gebrauch, so hat der Hacker leichtes Spiel: Bei derartig bekannten Onlineshops wird er natürlich zuerst sein Glück versuchen, indem er sich dort mit den erbeuteten Daten einzuloggen versucht. Gelingt dies, gewinnt er über die dortigen Kontoeinstellungen wichtige Informationen, wie z. B. Name, Anschrift und E-Mail-Adresse des Users. Jetzt kann er möglicherweise nicht nur über eine hinterlegte Kreditkarte bequem einkaufen und die Ware z. B. an eine DHL-Packstation in seiner Nähe liefern lassen, sondern die Kenntnis der E-Mail-Adresse führt ihn auch noch direkt zum E-Mail-Konto des Opfers. Ist dieses mit dem gleich Passwort gesichert wie z. B. der Amazon-Account, kann sich der Betrüger das E-Mail-Konto nun ohne weitere Probleme aneignen.
 
Von nun an kann er alle Mails mitlesen und auch unerwünschte Benachrichtigungen (z.B. über einen getätigten Einkauf) verschwinden lassen. Auch erfährt er über die eingehenden Mails möglicherweise, wo es sich sonst noch lohnen könnte, sich mit der ihm bekannten Kombination aus Benutzername und Passwort einzuloggen. Denkbar ist auch, dass er erst ma leine Weile im Verborgenen bleibt und die Mails als eine Art „Ghostreader“ lediglich eine Zeit lang mitliest, um dann geplant gleichzeitig mehrfach zuzuschlagen. Oder er ändert das E-Mail-Passwort, übernimmt auf diese Weise das gesamte E-Mail-Konto und eignet sich so die Identität seines Opfers an. Jetzt kann er sich bei jeder beliebigen Webseite als sein Opfer ausgeben und auch alle anderen Passwörter ändern. Denn die Bestätigungsmails für die Passwortänderungen gehen an den E-Mail-Account, aus dem der eigentliche Eigentümer mittlerweile ausgesperrt ist.

Tipps für den sicheren Umgang mit Passwörtern

Wie also kann man sich vor einem derartigen Schreckensszenario bestmöglich schützen? Die einzige Möglichkeit besteht streng genommen darin, für jeden Internetdienst ein eigenes Passwort zu verwenden. Aber was, wenn man sich eine große Anzahl guter und sicherer Passwörter nur schwerlich merken kann? Wir haben im Folgenden einige Tipps für Sie zusammengestellt, die Ihnen helfen, Ihre Identität im Netz effizient zu schützen.
 
Tipp 1:
Man verwendet pro Dienst ein eigenes kryptisches Passwort und speichert dieses in einem Passwort-Safe (z. B. 1Password oder KeePass) auf dem Rechner, Tablet oder Smartphone ab. Unverzichtbar bei diesem Vorgehen ist, für den Fall eines Hardwaredefekts eine Sicherheitskopie der Passwortdatei anzufertigen und diese sicher aufzubewahren. Kryptische Passwörter kann man sich übrigens sehr einfach mit so genannten Passwortgeneratoren (z. B. www.zendas.de/service/ passwort_generator.html) online generieren lassen. Meist erhält man dabei ganze Listen von Passwörtern, deren Komplexität man selbst frei einstellen kann. Daraus kann man dann eines oder mehrere Passwörter wählen, die man verwenden möchte. Aber Vorsicht: Niemals Passwörter im Klartext auf einem Rechner oder einem Speicherstick ablegen.
 
Tipp 2:
Man speichert keine Passwörter mehr mithilfe der Passwort-merken-Option, sondern verwendet stattdessen konsequent ausschließlich die Passwort-vergessen- Funktion. So muss nur noch das E-Mail-Konto mit einem starken Passwort gesichert werden. Ggf. hat diese Methode allerdings den Nachteil, dass manche Anbieter einige Minuten Zeit benötigen, eine entsprechende Mail zum Zurücksetzen des Passworts zuzusenden.
 
Tipp 3:
Laut Studien sind lange Passwörter aus mehreren Wörtern (z. B. „Mein Lieblingsbuch ist nicht immer vorrätig!“) sicherer als kryptische Passwörter (z. B. fg4hs!3TDZ) und noch dazu besser zu merken. Pro Dienst erstellt man nun einen Satz, der in Verbindung mit dem Dienst steht und dadurch leichter zu erinnern ist (obiges Beispiel gilt z. B. für Amazon). Ein Problem bei dieser Vorgehensweise kann allerdings sein, dass nicht alle Anbieter beliebig lange Passwörter zulassen oder sogar Anforderungen an das Passwort stellen (z. B. maximal zehn Stellen, ein Sonderzeichen und mindestens eine Zahl). Als kritisch zu bewerten ist dies vor allem dann, wenn Systeme zwar die Möglichkeit bieten, beliebig lange Passwörter einzugeben, diese aber nach z. B. der zehnten Stelle automatisch abgeschnitten werden. Dann besteht die Gefahr, dass man unwissentlich eine sehr einfache Zeichenfolge als Passwort gewählt hat, beispielsweise „Heimwerker“ statt „Heimwerker Online Shop meines Vertrauens“. Deshalb ist es wichtig, die Passwortanforderungen eines jeden Internetanbieters sorgfältig zu lesen und zu prüfen.

Der persönliche E-Mail- Account bedarf besonderen Schutzes

Natürlich kann man die drei vorgestellten Methoden auch miteinander kombinieren, um so von den jeweiligen Vorteilen zu profitieren. Beispielsweise wählt man ein paar richtig gute kryptische Passwörter für die Verwendung bei den wichtigsten Webdiensten aus. Bei Anbietern, die man selten aufsucht, greift man auf die Passwort-vergessen- Funktion zurück. Und auf Seiten, die es entsprechend zulassen, verwendet man lange Passwörter bestehend aus mehreren Wörtern. Wichtig ist außerdem, sich zu vergegenwärtigen, dass der persönliche E-Mail-Account des besonderen Schutzes bedarf. Er bildet quasi das Herz einer jeden virtuellen Identität. Deshalb sollte das Passwort für das persönliche E-Mail-Postfach auch ausschließlich für dieses verwendet und darüber hinaus regelmäßig gewechselt werden. Schließlich laufen dort alle Informationen über Passwortänderungen, Bestätigungsmails von Onlineshops und andere persönliche Kommunikation zusammen.
 
 
* Was ist Password Hashing?
Bei umsichtig programmierten Online-Shops und Webdiensten, die eine Benutzerauthentifizierung benötigen, werden die Passwörter nicht im Klartext in der Datenbank des Servers abgelegt, sondern gehasht. Hierbei wird das Passwort einem Algorithmus unterzogen, der aus dem eingegebenen Passwort einen kryptischen Code erzeugt. Sehr verbreitet ist immer noch Message-Digest Algorithm 5, kurz md5, auch wenn dieser als nicht besonders sicher eingestuft wird. Dieser Algorithmus erstellt aus einem Passwort eine 32-stellige Hexadezimalzahl. Das Besondere beim Hashing ist, dass die Algorithmen „Einbahnstraßen“ sind. Es gibt bis heute offiziell noch keine Möglichkeit, die Zahlenwerte wieder in das ursprüngliche Passwort zurückzuübersetzen. Auch der Betreiber der Seite kann dies nicht. Vielmehr wird bei jedem Login-Versuch das eingegebene Passwort erneut gehasht und anschließend mit dem in der Datenbank abgelegten Hash verglichen. Stimmen beide Werte exakt überein, gilt der Benutzer als authentifiziert. Mittlerweile gibt es eine Vielzahl derartiger Algorithmen, doch häufig werden veraltete Methoden (wie md5, sha usw.) verwendet. Das liegt daran, dass eine ursprünglich getroffene Entscheidung durch einen Shopbetreiber später nur aufwendig wieder geändert werden kann. Unzählige Kundenpasswörter wurden über die Jahre bereits nach dem gewählten Verfahren verschlüsselt und können nicht einfach umgerechnet werden. Außerdem bieten auch die veralteten Verfahren noch gewissen Schutz, solange einem Angreifer nicht beliebig viel Zeit und Versuche zur Verfügung stehen, um den Hash zu knacken. Aber nicht nur wegen möglicher Angriffe von außen sollten Betreiber Passwörter niemals im Klartext in der Passwortdatenbank ablegen, auch intern könnten sich eigene Programmierer Zugriff auf die Daten verschaffen und diese missbrauchen.
 
Der Autor 

Foto: Adacor Hosting

Andreas Bachmann ist Geschäftsführer und CIO der ADACOR Hosting. Im Network Operation Center in Offenbach verantwortet er den Bereich IT Security & Compliance. Ein weitere Fokus seiner Tätigkeit bei der ADACOR sind Zertifizierungen und das Sicherheitsmanagement. Mehr Infos http://www.adacor.com/security-and-compliance/