Die Passwort-Apokalypse: Der Schlüssel zur Sicherheit

Mat Honan spielte gerade mit seiner Tochter, als sich sein I-Phone plötzlich ausschaltete. Honan ist Journalist, schreibt für amerikanische Tech-Magazine wie Wired, und erwartete einen dringenden Anruf. Er schloss das Handy an seinen Computer an, wurde aufgefordert, eine Pin einzugeben, um sich mit seinem Cloud-Dienst zu verbinden. Eine Pin, die er nicht kannte. Honan schaute in sein E-Mail-Postfach. „Ihr Gmail-Passwort wurde zurückgesetzt“, „Ihr Twitter-Passwort wurde zurückgesetzt“. Aus der bösen Ahnung wurde Gewissheit: Honans Konten wurden gehackt. Innerhalb nur einer Stunde wurde ihm sein gesamtes digitales Leben entrissen. Kurz darauf konnte er nicht mehr auf seine E-Mail-Konten zugreifen, sich nicht mehr bei Twitter oder Amazon anmelden. Auch sämtliche Daten auf seinen Apple-Geräten wurden gelöscht; die E-Mail-Korrespondenz Jahre, die Fotos seiner kleinen Tochter.

Das Vorgehen der Hacker zeigt, wie unbedarft wir uns im Internet bewegen, wie selbstverständlich wir online einkaufen und Bankgeschäfte tätigen. Wie sicher wir uns sind, dass uns ein Passwort schützen kann. Dabei ist das Gegenteil der Fall. Ein einzelnes Wort, eine einzige Authentifizierung, mag sie auch noch so lang sein, noch so viele Sonderzeichen enthalten, hat ausgedient. „Einzig Passwörter zur Authentifizierung zu benutzen, ist das denkbar ungeeignetste Verfahren“, sagt auch Norbert Pohlmann, Leiter des Instituts für Internetsicherheit an der Westfälischen Hochschule.

Mat Honan hat für das Magazin „Wired“ aufgeschrieben, was ihm passiert ist. Es ist ein Lehrstück geworden. Minutiös hat er aufgelistet, wie die Hacker vorgegangen sind. Ausgangspunkt war Honans Twitter-Account @mat. Dort hatte er seine persönliche Homepage verlinkt, auf der seine Gmail-Adresse zu finden ist. Über die Wiederherstellungsseite der Gmail-Adresse fanden die Hacker eine alternative Adresse, eine Apple-E-MailAdresse. Jetzt wussten sie, dass Honan eine Apple-ID haben musste. Bingo.

Honan ist später mit „Phobia“, einem der Hacker, in Kontakt getreten. „Man kann jede E-Mail-Adresse knacken, die mit Apple verbunden ist“, sagt er. Dafür benötige man nur die Rechnungsadresse und die letzten vier Ziffern der Kreditkarte. Honans Anschrift war leicht herauszufinden. Über Anbieter wie whois oder denic kann jeder auf die Adresse des Webseitenbetreibers zugreifen. Die Kreditkartennummer war schon schwieriger zu bekommen.

Die Hacker riefen bei Amazon an und hinterlegten eine neue Kreditkartennummer. Dafür mussten sie dem Servicemitarbeiter nur den Namen des Accounts, die E-Mail-Adresse, mit der der Account verknüpft ist, und die Rechnungsadresse nennen. Kaum war die neue Kreditkarte hinterlegt, riefen sie erneut bei Amazon an, um eine neue E-Mail-Adresse zu hinterlegen. Sie mussten nur den Namen, die Adresse und die Kreditkartennummer, die sie einige Minuten zuvor neu hinterlegt hatten, angeben. Anschließend loggten sie sich bei Amazon ein und ließen sich ein zurückgesetztes Passwort an die neue E-MailAdresse schicken. Jetzt konnten sie in den Kontoeinstellungen die Daten aller hinterlegten Kreditkarten einsehen. Nicht die gesamte Nummer, aber die letzten vier Stellen. Eben jene Ziffern, die Amazon unverschlüsselt darstellt, während sie für Apple vertrauenswürdig genug sind, um sich damit zu authentifizieren.

Johannes Landvogt, Experte für Datensicherheit beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), glaubt an die Sicherheit von Passwörtern, auch wenn er sagt: „Ein langes Passwort mit Sonderzeichen ist keine hundertprozentige Sicherheitsgarantie.“ Dass Hacker in der Lage seien, jedes Passwort zu knacken, glaube Landvogt nicht.

Doch egal wie komplex ein gutes Passwort ist, mithilfe von Social Engineering kann es geknackt werden. „Und wenn man den E-Mail-Account einer Person gehackt hat, kann man von dort aus mithilfe von Passwort-Reset-Mechanismen viele anderen Konten übernehmen“, sagt Pohlmann. Die E-Mail-Adresse ist heute so etwas wie der Universalbenutzername im Internet geworden. Man loggt sich damit bei so ziemlich allem ein. Die Hilfefunktion „Passwort vergessen“ hilft in vielen Fällen vor allem den Hackern.

Die Sicherheitsschleusen der Zukunft sind komplizierter

Viele Systeme haben eine zusätzliche Hürde eingebaut, die „Sicherheitsfrage“. Vergangenes Jahr verschafften sich Hacker Zugang zum E-Mail-Konto des republikanischen Präsidentschaftskandidaten Mitt Romney. Sie konnten die Frage nach seinem Haustier beantworten. Nicht nur Personen des öffentlichen Lebens sind betroffen. Je mehr Informationen über Einzelne im Netz zu finden sind, etwa in sozialen Netzwerken, desto leichter das Spiel der Hacker.

Das Passwort als einzige Identifizierungskomponente hat ausgedient. Google hat als einer der ersten E-Mail-Dienste darauf reagiert. In den Einstellungen kann man die „Bestätigung in zwei Schritten“ freischalten. Dazu gibt man seine Handynummer an. Greift man nun von einer anderen IP-Adresse als gewöhnlich auf das Google-Konto zu, etwa aus China, reicht das Passwort nicht aus. Google sendet automatisch einen Code an die Mobilfunknummer. Erst wenn man den eingibt, kommt man ins Postfach. Google selbst gibt keine Zahlen bekannt, „doch meines Wissens“, sagt Landvogt, „ist der Prozentsatz derjenigen, die die Zwei-Phasen-Authentifizierung nutzen, verschwindend gering“.

Denn: Sicherheit im Internet soll auch komfortabel sein. Was für den 14-jährigen Internet-Aficionado noch zumutbar ist, empfindet der 65-jährige Gelegenheitsnutzer womöglich als Zumutung. Landvogt sieht deshalb die Hardwarehersteller in der Pflicht. Laptops mit eingebauten Fingerabdruckscannern gibt es bereits seit einigen Jahren auf dem Markt. Doch haben sich diese nie richtig durchgesetzt. Die Scanner sind noch zu fehlerhaft, bei etwa drei Prozent der Bevölkerung funktionieren sie gar nicht. Die Weiterentwicklung aber lohnt nicht, wenn nicht weltweit auf Fingerabdruckscanner gesetzt wird. Denkbar wären auch Spracherkennungsprogramme und Iris-Scans. Oder eine Anwendung, die alle diese Sicherheitsschranken kombiniert, wie es Hacking-Opfer Honan in seinem „Wired“-Artikel vorschlägt.

„Dass wir einfach verschiedene Sicherheitssysteme hintereinanderschalten, ist keine Lösung“, sagt hingegen Pohlmann. Der unbedarfte Nutzer, der noch nicht Opfer eines Hacks war, würde das als Zumutung empfinden. An der Westfälischen Hochschule arbeitet Pohlmann mit seinem Team an einem Open-ID-Provider, der den neuen Personalausweis zur Authentifizierung nutzt. Dabei könnte der Nutzer entscheiden, welchem ID-Anbieter er am meisten traut, etwa dem Institut für Internet-Sicherheit oder zukünftig auch Anbietern wie GMX oder Lufthansa. Einmal bei diesem Open-ID-Provider mit dem Personalausweis authentifiziert, könnte dieser anderen Webseiten, wie etwa der Krankenkasse, die Authentifizierung übermitteln. Technisch ginge das über eine Art Kartenleser am PC. Ähnliches wird heute schon bei Firmen wie etwa Siemens eingesetzt.

Das einzige Problem: Der Personalausweis ist eine nationale Sache, das Internet aber international. Amerikaner und Briten haben zwar ID-Cards, diese sind aber nicht mit dem Personalausweis vergleichbar. „Wir brauchen eine internationale Lösung“, sagt Pohlmann, „nur: wer soll das machen?“ Bei Firmen wie Google oder Facebook würde man immer auch Einzelinteressen vermuten, bei einzelnen Nationen ebenfalls. Im Grunde sei es Sache der Uno, eine geeignete Lösung zu finden, sagt Pohlmann.

Wer auch immer das Heft in die Hand nimmt, ein Großkonzern wie Google oder die Uno, neue Sicherheitsmaßnahmen müssen her. Vergleichbar mit der Einführung der Sicherheitsgurtpflicht in den siebziger Jahren oder die verschärften Kontrollen an Flughäfen nach dem 11. September 2001. Viele empfanden diese Sicherheitsvorkehrungen als Pein. Doch wer heute in sein Auto steigt, schnallt sich ganz automatisch an. Auch das Murren in den Warteschlangen an Flughäfen ist verstummt. Ein Verzicht auf Komfort zur Wahrung der Sicherheit.