Kurz(fristig) gemeldet – Von der Schlacht im Internet bis zur Jagd auf Snowden

ARD
ARD

Die ARD steht heute Nacht im Zeichen des Cyber-Krieges. Ab 23 Uhr 30 laufen zwei Dokumentationen, die Jagd auf Edward Snowden und Schlachtfeld Internet.

Für intersssierte Zuschauer, oder all jene, die bis jetzt noch kein festes Fernsehprogramm haben, bietet sich heute Abend die Chance auf der ARD einen 45 minütigen Einblick in den sogenannten Cyberwar. In dieser Doku warnt Edwart Snowden vor angreifbaren Infrastrukturen im Land, beispielsweise Krankenhäuser ohne Strom oder ein lahmgelegtes Telefonnetz.

Auch wenn der Film vielleicht etwas übertrieben und martialisch daherkommt, so betrifft er auch den Otto-Normal-User. In den letzten Wochen wurden Berichte herausgegeben, in denen zu lesen ist, daß beispielsweise ein deutscher Hochofen so manipuliert wurde, daß dieser schwer beschädigt wurde. Es soll auch Verdachtsmomente geben, daß die Explosion einer türkischen Ölpipline durch einen Computerhack hervorgerufen wurde. Wichtig zu wissen ist auch, daß durchaus Krankenhäuser anfällig für Computerhacks sind. Und hier sind nun viele Menschenleben bei etwaigen Schäden betroffen.

In den beiden Dokus beschreibt man Szenarien, die aus einem Thriller stammen könnten, die aber durchaus realistisch sind. Neben diesen Szenarien wird auch Snowdens Flucht nach Russland aufgearbeitet und wie es ihm dort gehen soll. Zentrales Thema ist auch, wie gefährdet Deutschland ist, liegt es nun zwischen zwei Supermächten – Russland und den USA. Was Hacker bewirken können, durfte unlängst Frau Merkel erfahren, deren Homepage und die Bundestagsserver lahmlegten.

Also dreht heute Nacht 23 Uhr 30 das Erste auf, 90 Minuten Doku am Stück dürfte sich lohnen.

Der Datenschutz und die Jagd nach dem Sündenbock

Vergangenes Wochenende war der Aufschrei einiger mehr oder weniger prominenter Damen aus Hollywood groß. Ein Hacker ist in deren Accounts bei Apples iCloud eingebrochen und hat dort deponierte Nacktfotos von den Stars und Sternchen offensichtlich für jeden ins Internet gestellt. Was ist Geschehen?

Der Einbruch auf diesen Accounts war recht simpel gestrickt. Zu einem Account bei iCloud gehört ein Name und ein Passwort. Zu den Namen der betroffenen Stars hat der Hacker einfach die Passwörter durchprobiert, um Zeit zu sparen geht das recht simpel automatisiert. Da werden bekannte Wörter aus allen Wörterbüchern durchprobiert, dazu noch bekannte Buchstaben und Zahlenkombinationen. Der vermeintliche Dieb ist bei einigen Prominenten fündig geworden und hatte so Zugriff auf die in der Cloud liegenden Daten bekommen. Interessante Nacktfotos hat er dann natürlich ins Internet gestellt. Die Promis sind empört, Apple hat einen Imageschaden und die Öffentlichkeit zeigt mit dem Dudu-Finger auf die Promis und sagt „Solche Fotos gehören nicht ins Internet“.

Aber wem trift jetzt genau die Schuld?

Nun muß natürlich mal wieder ein Sündenbock her. Das FBI, die amerikanische Bundespolizei, sucht jetzt mit Hochdruck nach dem Dieb. Apple hat es geschaft, unter zwei Tagen seine Server durchzusehen und die Schuld von sich zu weißen „Unsere Server sind doch sicher“ heißt es aus Cupertino. Und die Promis? Die geben einerseits dem Hacker die Schuld an der Häme, die sie jetzt abbekommen und natürlich auch Apple „Ihr hättet unsere Daten besser schützen sollen“ Und Apple sagt wiederum, daß solche Daten doch nicht ins Internet gehören.

Wie kam eine solche Wörterbuchattacke überhaupt zum Erfolg?

Mittlerweile gängige Praxis bei vielen IT-Dienstleistern ist ein 2-Faktor-Authentifikationsverfahren. Banken bieten beispielsweise soetwas an. Man hat da erst eine Passwortabfrage und dann bekommt man noch eine SMS mit einem Code zugeschickt, der zusätzlich einzugeben ist.

Leider verzichtet Apple auf diesen zweiten Faktor. Auch das Login-Script für seinen Dienst iCloud. Mit einem solchen Script hätte man die Zugriffe mit falschem Passwort abblocken oder zumindestens bremsen können. Drei mal falsches Passwort und Zack – der Account wird gesperrt. Das hat Apple versäumt und ließ mehrere Millionen Zugriffe am Tag zu. Dazu noch schwache Passwörter der Prominenz und schon war die Suppe am Dampfen.

Wie geht es weiter?

Viele Nutzer, entweder netzaffin oder nicht, werden jetzt spöttisch lächeln und sagen, daß solche Daten nicht ins Internet gehört. Wird der Hacker gefasst, stehen ihm in Amerika sicherlich mehrere Jahre Haft bevor und Apple – naja die aus Cupertino haben mal nichts draus gelernt.

Fazit

Hoffentlich macht es bei vielen Internetnutzern jetzt einmal Klick und hören auf private oder dienstliche Sachen im Internet zu posten. Auch wenn die Daten hinter einer Passwortschranke liegen, so befinden diese sich auf den Großrechnern von Firmen und dergleichen, wo jeder befugte Mitarbeiter oder Administrator irgendwie Zugriff darauf haben kann. Liegen diese bei Dropbox, iCloud und Co. so haben außerdem noch andere Internetnutzer Zugriff. Auch vor Diebstählen, wie dieses Beispiel so schön zeigt, sind die Daten im Internet nicht sicher. Wirkliche Sicherhheit bringt auf längere Sicht eine harte Verschlüsselung der Daten via Boxcryptor, PGP und anderen Tools, oder das Lagern der privaten Daten auf einem USB Stick oder einer externen Festplatte. Sogar Smartphones und Tabletts kann man nicht mehr trauen. Deren Grundeinstellungen erlauben das sofortige Speichern von Bildern beispielsweise gleich in der Cloud. Na klar, das Abspeichern der Daten auf eine (Micro)SD-Karte oder ähnliche Medien, das Überspielen via Blue-Tooth oder W-LAN auf den Computer – nach dem Abschalten des Backups in die Cloud – ist ja aufwending und friemelig. Vielleicht sind herkömmliche Digicams doch noch besser zum Fotografieren geeignet, denn die senden nichts nach Hause.

Datensicherheit bedeutet immer ein Verlust an Bequemlichkeit. Aber das schützt vor solchen Pannen wie die vom Wochenende.

Und was lernen wir daraus?

  1. Verschlüsselung der Daten, die in die Cloud wandern
  2. Für jeden Internetdienst ein sicheres und einmaliges Passwort anlegen
  3. Die Sicherheitsvorkehrungen der Anbieter müssen richtig eingesetzt werden, Zwei-Faktor-Identifizierung ist ein Muß. Vorformulierte Sicherheitsabfragen beispielsweise nach dem Geburtsdatum der Mutter haben Sie zu meiden wie Der Teufel das Weihwasser. Hier gilt bei solchen FRagen dürfen Sie lügen und betrügen.
  4. Schützen Sie Ihr Umfeld: Wer Bilder von sich mit Freunden, Partnern und Geliebten teilt, unterliegt damit auch deren Sicherheitsniveau: Wenn die anderen Personen sich nicht schützen, sind die eigenen Bilder auch nicht geschützt. Informieren Sie Ihr Umfeld über Sicherheitsvorkehrungen – und teilen Sie so wenig schützenswerte Daten mit ihm wie möglich.