Vergangenes Wochenende war der Aufschrei einiger mehr oder weniger prominenter Damen aus Hollywood groß. Ein Hacker ist in deren Accounts bei Apples iCloud eingebrochen und hat dort deponierte Nacktfotos von den Stars und Sternchen offensichtlich für jeden ins Internet gestellt. Was ist Geschehen?
Der Einbruch auf diesen Accounts war recht simpel gestrickt. Zu einem Account bei iCloud gehört ein Name und ein Passwort. Zu den Namen der betroffenen Stars hat der Hacker einfach die Passwörter durchprobiert, um Zeit zu sparen geht das recht simpel automatisiert. Da werden bekannte Wörter aus allen Wörterbüchern durchprobiert, dazu noch bekannte Buchstaben und Zahlenkombinationen. Der vermeintliche Dieb ist bei einigen Prominenten fündig geworden und hatte so Zugriff auf die in der Cloud liegenden Daten bekommen. Interessante Nacktfotos hat er dann natürlich ins Internet gestellt. Die Promis sind empört, Apple hat einen Imageschaden und die Öffentlichkeit zeigt mit dem Dudu-Finger auf die Promis und sagt „Solche Fotos gehören nicht ins Internet“.
Aber wem trift jetzt genau die Schuld?
Nun muß natürlich mal wieder ein Sündenbock her. Das FBI, die amerikanische Bundespolizei, sucht jetzt mit Hochdruck nach dem Dieb. Apple hat es geschaft, unter zwei Tagen seine Server durchzusehen und die Schuld von sich zu weißen „Unsere Server sind doch sicher“ heißt es aus Cupertino. Und die Promis? Die geben einerseits dem Hacker die Schuld an der Häme, die sie jetzt abbekommen und natürlich auch Apple „Ihr hättet unsere Daten besser schützen sollen“ Und Apple sagt wiederum, daß solche Daten doch nicht ins Internet gehören.
Wie kam eine solche Wörterbuchattacke überhaupt zum Erfolg?
Mittlerweile gängige Praxis bei vielen IT-Dienstleistern ist ein 2-Faktor-Authentifikationsverfahren. Banken bieten beispielsweise soetwas an. Man hat da erst eine Passwortabfrage und dann bekommt man noch eine SMS mit einem Code zugeschickt, der zusätzlich einzugeben ist.
Leider verzichtet Apple auf diesen zweiten Faktor. Auch das Login-Script für seinen Dienst iCloud. Mit einem solchen Script hätte man die Zugriffe mit falschem Passwort abblocken oder zumindestens bremsen können. Drei mal falsches Passwort und Zack – der Account wird gesperrt. Das hat Apple versäumt und ließ mehrere Millionen Zugriffe am Tag zu. Dazu noch schwache Passwörter der Prominenz und schon war die Suppe am Dampfen.
Wie geht es weiter?
Viele Nutzer, entweder netzaffin oder nicht, werden jetzt spöttisch lächeln und sagen, daß solche Daten nicht ins Internet gehört. Wird der Hacker gefasst, stehen ihm in Amerika sicherlich mehrere Jahre Haft bevor und Apple – naja die aus Cupertino haben mal nichts draus gelernt.
Fazit
Hoffentlich macht es bei vielen Internetnutzern jetzt einmal Klick und hören auf private oder dienstliche Sachen im Internet zu posten. Auch wenn die Daten hinter einer Passwortschranke liegen, so befinden diese sich auf den Großrechnern von Firmen und dergleichen, wo jeder befugte Mitarbeiter oder Administrator irgendwie Zugriff darauf haben kann. Liegen diese bei Dropbox, iCloud und Co. so haben außerdem noch andere Internetnutzer Zugriff. Auch vor Diebstählen, wie dieses Beispiel so schön zeigt, sind die Daten im Internet nicht sicher. Wirkliche Sicherhheit bringt auf längere Sicht eine harte Verschlüsselung der Daten via Boxcryptor, PGP und anderen Tools, oder das Lagern der privaten Daten auf einem USB Stick oder einer externen Festplatte. Sogar Smartphones und Tabletts kann man nicht mehr trauen. Deren Grundeinstellungen erlauben das sofortige Speichern von Bildern beispielsweise gleich in der Cloud. Na klar, das Abspeichern der Daten auf eine (Micro)SD-Karte oder ähnliche Medien, das Überspielen via Blue-Tooth oder W-LAN auf den Computer – nach dem Abschalten des Backups in die Cloud – ist ja aufwending und friemelig. Vielleicht sind herkömmliche Digicams doch noch besser zum Fotografieren geeignet, denn die senden nichts nach Hause.
Datensicherheit bedeutet immer ein Verlust an Bequemlichkeit. Aber das schützt vor solchen Pannen wie die vom Wochenende.
Und was lernen wir daraus?
- Verschlüsselung der Daten, die in die Cloud wandern
- Für jeden Internetdienst ein sicheres und einmaliges Passwort anlegen
- Die Sicherheitsvorkehrungen der Anbieter müssen richtig eingesetzt werden, Zwei-Faktor-Identifizierung ist ein Muß. Vorformulierte Sicherheitsabfragen beispielsweise nach dem Geburtsdatum der Mutter haben Sie zu meiden wie Der Teufel das Weihwasser. Hier gilt bei solchen FRagen dürfen Sie lügen und betrügen.
- Schützen Sie Ihr Umfeld: Wer Bilder von sich mit Freunden, Partnern und Geliebten teilt, unterliegt damit auch deren Sicherheitsniveau: Wenn die anderen Personen sich nicht schützen, sind die eigenen Bilder auch nicht geschützt. Informieren Sie Ihr Umfeld über Sicherheitsvorkehrungen – und teilen Sie so wenig schützenswerte Daten mit ihm wie möglich.