Die Passwort-Apokalypse : Der Schlüssel zur Sicherheit

Experten sind sich einig: Einfache Passwörter sind als Schutz nicht mehr gut genug. Ob mit Iris-Scan oder ID-Karte, das Einloggen wird in Zukunft wohl komplizierter.

Dominik Drutschmann
Foto: M. Schuppich Fotolia

Mat Honan spielte gerade mit seiner Tochter, als sich sein I-Phone plötzlich ausschaltete. Honan ist Journalist, schreibt für amerikanische Tech-Magazine wie Wired, und erwartete einen dringenden Anruf. Er schloss das Handy an seinen Computer an, wurde aufgefordert, eine Pin einzugeben, um sich mit seinem Cloud-Dienst zu verbinden. Eine Pin, die er nicht kannte. Honan schaute in sein E-Mail-Postfach. „Ihr Gmail-Passwort wurde zurückgesetzt“, „Ihr Twitter-Passwort wurde zurückgesetzt“. Aus der bösen Ahnung wurde Gewissheit: Honans Konten wurden gehackt. Innerhalb nur einer Stunde wurde ihm sein gesamtes digitales Leben entrissen. Kurz darauf konnte er nicht mehr auf seine E-Mail-Konten zugreifen, sich nicht mehr bei Twitter oder Amazon anmelden. Auch sämtliche Daten auf seinen Apple-Geräten wurden gelöscht; die E-Mail-Korrespondenz Jahre, die Fotos seiner kleinen Tochter.

Das Vorgehen der Hacker zeigt, wie unbedarft wir uns im Internet bewegen, wie selbstverständlich wir online einkaufen und Bankgeschäfte tätigen. Wie sicher wir uns sind, dass uns ein Passwort schützen kann. Dabei ist das Gegenteil der Fall. Ein einzelnes Wort, eine einzige Authentifizierung, mag sie auch noch so lang sein, noch so viele Sonderzeichen enthalten, hat ausgedient. „Einzig Passwörter zur Authentifizierung zu benutzen, ist das denkbar ungeeignetste Verfahren“, sagt auch Norbert Pohlmann, Leiter des Instituts für Internetsicherheit an der Westfälischen Hochschule.

Mat Honan hat für das Magazin „Wired“ aufgeschrieben, was ihm passiert ist. Es ist ein Lehrstück geworden. Minutiös hat er aufgelistet, wie die Hacker vorgegangen sind. Ausgangspunkt war Honans Twitter-Account @mat. Dort hatte er seine persönliche Homepage verlinkt, auf der seine Gmail-Adresse zu finden ist. Über die Wiederherstellungsseite der Gmail-Adresse fanden die Hacker eine alternative Adresse, eine Apple-E-MailAdresse. Jetzt wussten sie, dass Honan eine Apple-ID haben musste. Bingo.

Honan ist später mit „Phobia“, einem der Hacker, in Kontakt getreten. „Man kann jede E-Mail-Adresse knacken, die mit Apple verbunden ist“, sagt er. Dafür benötige man nur die Rechnungsadresse und die letzten vier Ziffern der Kreditkarte. Honans Anschrift war leicht herauszufinden. Über Anbieter wie whois oder denic kann jeder auf die Adresse des Webseitenbetreibers zugreifen. Die Kreditkartennummer war schon schwieriger zu bekommen.

Die Hacker riefen bei Amazon an und hinterlegten eine neue Kreditkartennummer. Dafür mussten sie dem Servicemitarbeiter nur den Namen des Accounts, die E-Mail-Adresse, mit der der Account verknüpft ist, und die Rechnungsadresse nennen. Kaum war die neue Kreditkarte hinterlegt, riefen sie erneut bei Amazon an, um eine neue E-Mail-Adresse zu hinterlegen. Sie mussten nur den Namen, die Adresse und die Kreditkartennummer, die sie einige Minuten zuvor neu hinterlegt hatten, angeben. Anschließend loggten sie sich bei Amazon ein und ließen sich ein zurückgesetztes Passwort an die neue E-MailAdresse schicken. Jetzt konnten sie in den Kontoeinstellungen die Daten aller hinterlegten Kreditkarten einsehen. Nicht die gesamte Nummer, aber die letzten vier Stellen. Eben jene Ziffern, die Amazon unverschlüsselt darstellt, während sie für Apple vertrauenswürdig genug sind, um sich damit zu authentifizieren.

Johannes Landvogt, Experte für Datensicherheit beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), glaubt an die Sicherheit von Passwörtern, auch wenn er sagt: „Ein langes Passwort mit Sonderzeichen ist keine hundertprozentige Sicherheitsgarantie.“ Dass Hacker in der Lage seien, jedes Passwort zu knacken, glaube Landvogt nicht.

Doch egal wie komplex ein gutes Passwort ist, mithilfe von Social Engineering kann es geknackt werden. „Und wenn man den E-Mail-Account einer Person gehackt hat, kann man von dort aus mithilfe von Passwort-Reset-Mechanismen viele anderen Konten übernehmen“, sagt Pohlmann. Die E-Mail-Adresse ist heute so etwas wie der Universalbenutzername im Internet geworden. Man loggt sich damit bei so ziemlich allem ein. Die Hilfefunktion „Passwort vergessen“ hilft in vielen Fällen vor allem den Hackern.

0 Kommentare

Neuester Kommentar
      Kommentar schreiben