Das Jahr 2012 hat eines bewiesen: Nicht nur schwache Passwörter können spielend geknackt werden, auch gut abgesicherte Accounts sind nicht sicher vor Hackern. [...]
Wir werfen einen Blick zurück auf die schlimmsten Sicherheitspannen des vergangenen Jahres. Klarer Fall: Zu einfache Passwörter wie das beliebte P@$$w0rd oder Test123 sind schnell geknackt. So einfach sollten Sie es Angreifern wirklich nicht machen. Doch das vor kurzem zu Ende gegangene Jahr 2012 hat leider auch bewiesen, dass selbst die vorsichtigsten Internetnutzer ihre Vorsichtsmaßnahmen noch einmal deutlich verbessern sollten. Denn die immer stärker mit der Cloud verbundene und untereinander vernetzte PC-Welt nimmt auch immer größeren Schaden, wenn Angreifer zuschlagen.
Eine solide Sicherheits-Software (auch im Unternehmensumfeld) sollte die Basis Ihrer Verteidigung bilden – doch auch Ihre eigenen Verhaltensweisen sollten Sie an die neuen Gefahren anpassen. Ein geknacktes LinedIn-Passwort richtet zum Beispiel wenig Schaden an, wenn dessen spezielle Kombination aus Zahlen und Buchstaben ausschließlich die Tür zu diesem sozialen Netzwerk öffnet. Anders sieht es schon aus, wenn das Passwort gleich auch noch für Facebook, Google+, Twitter, Xing und andere Plattformen benutzt wird.
Aktuelle Sicherheitsvorkehrungen sind also dringend notwendig – das beweist unser Blick zurück auf die schlimmsten Sicherheitslecks und Sicherheitspannen des Jahres 2012.
Hack-Angriffe auf Honan
Der lukrativste Hack von 2012 umfasste nicht etwa den Diebstahl von Millionen Nutzerdaten oder Kontoinformationen. Nein, das spektakulärste Sicherheits-Desaster des Jahres 2012 war der Hack gegen einen einzelnen Mann: Gegen den Wired-Autors Mat Honan. Innerhalb einer einzigen Stunde verschafften sich Hacker Zugang zu Honans Amazon-Konto, löschten seinen Google-Account und machten die Festplatten dreier seiner Apple-Geräte ferngesteuert dem Erdboden gleich – um am Ende ein einziges Ziel zu erreichen: Die volle Kontrolle über Honans Twitter-Account. Warum all die Zerstörungswut? Weil der @mat-Twittername mit nur drei Buchstaben als wahre Goldgrube gilt.
Dabei ist der Hack auch durch Honans eigenes Verschulden überhaupt erst möglich geworden: Passwort-Verkettung verschiedener, wichtiger Konten, ein ähnliches Namensschema für mehrere Mail-Accounts, Verzicht auf Doppel-Authentifizierung und Vernachlässigung wichtiger Sicherheitsprotokolle bei Amazon und Apple. Insbesondere letzteres konnten sich die Hacker spielend zunutze machen.
Der Flame-Virus
Er geht zurück bis ins Jahr 2010, entdeckt wurde er allerdings erst im Mai 2012: Der Flame-Virus, der frappierende Ähnlichkeit zum Regierungs-Virus Stuxnet besitzt. Mit seiner komplexen Code-Basis dient er in erster Linie dazu, Länder im Mittleren Osten wie Ägypten, Syrien, Libanon, Sudan und Iran auszuspionieren. Sobald sich Flame in einem System eingenistet hat, installiert er eigenständig Module, die unter anderem Skype-Gespräche aufzeichnen, Screenshots anfertigen, Netzwerkverbindungen ausschnüffeln und sämtliche Tastatureingaben und Daten aus Eingabefeldern speichern können. Mit anderen Worten: Ein ziemlich fieser Zeitgenosse. Zudem lädt Flame alle gesammelten Informationen ins Netz, um die Server zu kontrollieren. Kurz nachdem Kaspersky-Forscher die Existenz des Flame-Virus ausgemacht hatten, aktivierte der verantwortliche Hacker eine Art Killerkommando, um die Software von den infizierten Rechnern zu entfernen.
Das Homebrew-Tool, das Hoteltüren knackt
Auf der Black Hat-Sicherheitskonferenz im Juli 2012 enthüllte Forscher Cody Brocious ein Gerät, mit dem man nahezu narrensicher elektronische Türen der Firma Onity knacken konnte. Onity-Schlösser werden in rund 4 Millionen Türen von tausenden Hotels auf der ganzen Welt verbaut – unter anderem auch in Luxus-Hotels wie dem Hyatt, Marriott und IHG (Holiday Inn und Crown Plaza). Gebaut aus einem Arduino-Mikrocontroller und mit Materialkosten unter 50 US-Dollar, kann das Tool von jedem nachgebaut werden, der über etwas handwerkliches Geschick und ein paar Programmierkenntnisse verfügt. Gesagt, getan: Es liegt mindestens ein Fall vor, demzufolge mit einem ähnlichen Tool in verschiedene Hotelzimmer in Texas eingebrochen wurde.
Noch erschreckender als der geringe Aufwand für einen Einbruch war aber die Stellungnahme von Onity zu eben diesem Problem: „Einfach einen Stopfen über den Port stülpen und die Schrauben austauschen.“ Dann entschied sich die Firma aber doch, eine echte Lösung für das Problem anzubieten, die unter anderem den Austausch der Grundplatinen in den Türschlössern vorsah – die Kosten dafür wollte Onity jedoch nicht übernehmen. Nach den Einbrüchen in texanischen Hotels wurde bis zum 30. November 2012 bei gerade einmal 1,4 Millionen Schlössern in Hotels weltweit nachgebessert – hauptsächlich mit der eher fragwürdigen Plastikstopfen-Lösung. Die Gefahr eines Einbruchs bei Onity-Hoteltüren besteht also nach wie vor.
Die Menge macht’s
Das Jahr 2012 verzichtete weitestgehend auf massive Datenbankdiebstähle im Stil des Playstation-Network-Zusammenbruchs von 2011. Doch mehrere Serien kleinerer Einbrüche sorgten vor allem im Frühjahr und Sommer für Ärger. Am berüchtigsten wurde dabei die Veröffentlichung von 6,5 Millionen gestohlener LinkedIn-Passwörter, dicht gefolgt von 1,5 Millionen entwendeter eHarmony-Passwörter, 450.000 geklauter Login-Daten von Yahoo Voice, einer unbestimmten Anzahl gestohlener Last-fm-Passwörter und die Offenlegung kompletter Login- und Profildaten von hunderten Nutzern des Nvidia-Forums. Man könnte diese Liste für 2012 übrigens durchaus noch weiter führen, doch belassen wir es fürs erste bei diesen Desastern.
Was lernen wir daraus? Vertrauen Sie niemals darauf, dass eine Webseite Ihre Passwörter und Zugangsdaten geheim hält. Benutzen Sie daher verschiedene Passwörter für verschiedene Webseiten und minimieren Sie so selbst die Gefahr eines Mehrfach-Hacks, wenn Datendiebe eines Ihrer Online-Nutzerkonten knacken.
Dropbox – offen für alle
Im Juli 2012 stellten einige Dropbox-Nutzer verwundert fest, dass ihre Inbox mit immer mehr Spam-Nachrichten geflutet wurde. Nach anfänglichem Ignorieren und späterem Nachforschen fanden die Betreiber von Dropbox heraus, dass Hacker den Account eines ihrer Angestellten geknackt hatten und sich so Zugang zu einem Dokument verschaffen konnten, das die Mail-Adressen zahlreicher Dropbox-Nutzer beinhaltet. Zwar blieb der Schaden gering, doch Dropbox war blamiert.
Gleichzeitig wurde auch bei einer kleinen Anzahl von Privatnutzern der Dropbox-Account gehackt. Nachforschungen ergaben, dass die Konten nur gekapert werden konnten, weil die User die gleiche Nutzername-Passwort-Kombination auch auf anderen Webseiten benutzten.
Skype pfeift auf Sicherheit
Im November 2012 verloren Skype-Nutzer kurzfristig die Fähigkeit, ihr Konto mit einem Passwort-Reset zurücksetzen zu lassen. Grund dafür: Ein zuvor entdecktes Sicherheitsleck, mit dem nahezu jeder das Passwort eines Skype-Kontos zurücksetzen konnte, sofern er nur die dem Account zugeordnete E-Mail-Adresse kennt. Skype ließ die Lücke relativ schnell stopfen, als erste Details an die Öffentlichkeit drangen, doch da hatte es bereits erste Schadensfälle gegeben. Vor allem in russischen Web-Foren machte das Sicherheitsleck schnell die Runde und wurde aktiv ausgenutzt, bevor es endlich gestopft wurde.
1,5 Millionen Kreditkartennummern gestohlen
Im April gelang es Hackern, die gigantische Summe von 1,5 Millionen Kreditkartennummern aus der Datenbank von Global Payments zu entwenden – einem Bezahldienst, der von Regierungsagenturen, Finanzinstituten und rund eine Millionen Einzelhändlern weltweit benutzt wird. Zum Glück konnte der Schaden begrenzt werden: Global Payments gelang es herauszufinden, welche Kartennummern vom Hack betroffen waren und stellte dabei fest, dass nur Kartennummern und Ablaufdaten gestohlen worden waren – keine Angaben zum Namen des Karteninhabers oder persönliche Identifikationsnummern. Das sollte allerdings nicht lang so bleiben: Bereits im Juni machte Global Payments erneut negative Schlagzeilen, als der Konzern verkündete, dass Hacker die persönlichen Informationen von Nutzern gestohlen hätten, die sich bei Global Payments für einen Händler-Account registriert hatten.
Schlechte Noten für Microsoft Security Essentials
Das unabhängige Sicherheistinstitut AV-Test macht für alle gängigen Antimalware-Programme auf dem Markt regelmäßig den Härtetest: Immer wieder lässt es eine ganze Horde fieser Eindringlinge, Spione, Malware und Viren auf die Programme los, um anschließend zu beurteilen, wie sie mit der Herausforderung fertig werden. Ende November 2012 standen insgesamt 24 kundenorientierte Sicherheitsprogramme auf dem Prüfstand. Nur ein einziges fiel bei AV-Test wegen erheblicher Mängel komplett durchs Raster: Microsoft Security Essentials für Windows 7. Zwar schaffte es MSE, die bekanntesten Viren im Test abzuwimmeln, versagte jedoch kläglich beim Schutz gegen neue Exploits. Mit nur 64 erreichten Sicherheitspunkten gegen diese Malware lag MSE ganze 25 Punkte unter dem Industrie-Durchschnitt.
Pseudo-Hack: Nortons Sicherheitscode gelüftet
Klingt ganz schön gruselig: Einer Gruppe von Hackern gelang es, den Quellcode einer von Symantecs beliebten Norton Sicherheitssoftwares zu stehlen und veröffentlichte ihn anschließend zur Komplettsezierung auf Pirate Bay. Der geknackte Quellcode gehört zu einem Norton-Produkt von 2006 – Symantecs aktuelle Antimalware-Software wurde allerdings von Grund auf neu programmiert und hat mit dem Code von 2006 nichts mehr gemein. Anders gesagt: Der veröffentlichte Code von 2006 birgt nicht das geringste Risiko für Nutzer aktueller Norton-Produkte – zumindest, wenn Sie irgendwann in den letzten sechs Jahren Ihre Updates nicht vergessen haben…
*Brad Chacos ist Redakteur der PC-Welt.
*Brad Chacos ist Redakteur der PC-Welt.
Be the first to comment