Passwortsicherheit (3): Zuverlässige Freunde?

Bislang habe ich mich vorwiegend darauf konzentriert, mögliche Methoden zum Erstellen und Verwalten sicherer Passwörter vorzustellen. Zugegeben, ich bevorzuge eine Methode, die nicht auf Anhieb komfortabel ist, die bisherigen Teile in dieser Serie sollten aber verdeutlicht haben, wie gering der Aufwand tatsächlich ist – bei enormer großer Passwortsicherheit. Heute geht es weniger um das Wie, mehr um das Warum. Ein offensichtlicher Grund sind Angriffe auf passwortgeschützte Daten, das sollte hinlänglich bekannt sein. Darauf, also wie solche Angriffe aussehen, komme ich erst in der nächsten Woche. Denn es gibt noch einen weiteren Grund, der weniger bekannt ist, aber nicht weniger wichtig. Dies hat damit zu tun, dass nicht unbedingt nur mein Account oder meine Daten das konkrete Ziel eines Angriffs sein können. Sie können auch nur beiläufiges Opfer einer größer angelegten Aktion sein.

 Sollte die Server-Seite nicht für Sicherheit sorgen?

Klar, die Anbieter der Seiten oder Produkte, bei denen ich mich anmelde, sollten die Sicherheit der auf ihren Servern vorgehaltenen Daten gewährleisten. Sich darauf zu verlassen ist allerdings blauäugig. Administratoren, das ist Teil ihres Jobs, sind damit betraut, ihre Datenbanken gegen fremden Zugriff zu schützen. In der Regel, davon gehe ich erst einmal aus, beherrscht das Gros der Administratoren auch den Maßnahmenkatalog. Doch selbst dann sind, Nutzerinnen und Nutzer nicht vor Schaden gefeit, der von einem server-seitigen Bruch besteht. Es gehört nicht nur im Internet ein technisches Wettrüsten dazu: Selbst wenn alle Administratoren von allen bekannten Schwachpunkten wüssten und diese adäquat geschlossen hätten, bliebe die Entwicklung nicht stehen. Neue Schwachstellen werden täglich gefunden und von Kriminellen oder auch nur Spaßvögeln ausgenutzt. Die Administratoren werden erst davon Wind bekommen, wenn irgendwo ein erfolgreicher Angriff mit einer neuen Methode ausgeführt wurde. Das macht die Sache für die Betroffenen, selbst wenn es nur bei einem Erfolg bliebe, nicht besser. Und das alles nur in einem idealtypischen Fall, in dem alle Administratoren der Welt sonst keine Fehler machen.

Selbst in diesem weltfremden Gedankenspiel hieße das: Als Nutzerinnen und Nutzer können wir uns nicht aus der Verantwortung ziehen, möglichen Schaden schon aus Eigennutz von Beginn an einzugrenzen. Aber mal ein Beispiel aus dem Alltag.

Der Gawker-Media-Hack

Eine der festen Größen der Netzwelt ist das Medienunternehmen und Blognetzwerk Gawker Media, bei dem einige der weltweit erfolgreichsten Blogs versammelt sind. Viele davon sind technisch ausgerichtete Blogs, sodass eine Schockwelle durchs Netz trieb, als der Hack von Gawkers Kommentatoren-Datenbank des gesamten Blognetzwerks bekannt wurde. Ein wenig Häme schwang mit, die Technik-Blogs mussten sogar um ihren Ruf fürchten.

Ohne zu sehr ins Detail gehen zu wollen, bleibt festzuhalten, wie einfach es den Hackern fiel, der Datenbank habhaft zu werden. In der Datenbank waren die Daten zwar verschlüsselt, doch konnten die Hacker immerhin 200.000 der insgesamt1,3 Millionen Datensätze ermitteln. Um den Schaden für Gawker so groß wie möglich zu halten, setzte die Hackergruppe die Daten postwendend frei. Ein Torrent verbreitete die Inhalte und hatte damit auch die Tore für alle geöffnet, die sich daran abarbeiten wollten.

Die Nutzerinnen und Nutzer hatten auf die Expertise der Administratoren von Gawker vertraut und völlig zu Recht auch Sicherheit erwartet. Das ist eindeutig. Gawker kam ins Schwitzen, um die Gemüter zu beruhigen. Dabei ging allerdings unter, wie viele der Kommentatoren und Kommentatorinnen fahrlässig mit sensiblen Informationen umgingen. Viele verwandten lächerlich einfache Passwörter wie 123456, qwerty oder password. Diejenigen mögen vielleicht schon von Beginn an keinen großen Wert auf die Passwortsicherheit gelegt haben, weil sie höchstens davon Fremdkommentaren unter ihrem Namen ausgingen. In anderen Fällen war es aber problematisch, denn anscheinend hatten einige doch tatsächlich für die Anmeldung bei Gawker einheitliche Passwörter genutzt, die sie zum Beispiel auch für das Online-Banking verwendeten.

Hämisch könnte ich mich nun über die Naivität der Nutzerinnen und Nutzer hermachen, die derart leichtsinnig mit ihren Passwörtern umgingen. Nur konstruktiv wäre das nicht. Stattdessen will ich noch einmal auf die Wichtigkeit der obersten Regel der Passwortsicherheit hinweisen.

Niemals nicht dasselbe Passwort

Um es klarzustellen, in diesem Fall war es nicht wichtig, ob das Passwort, das in der Gawker-Datenbank lag, nun an sich sicher war. Die Hacker hatten Zugriff auf die Datenbank, deren Sicherheit und Schutz nicht Aufgabe der Nutzerinnen und Nutzer war. Gawkers Administratoren hatten es den Hackern wohl etwas zu leicht gemacht. Doch hätte das Risiko durch die Nutzerinnen und Nutzer minimiert werden können, wenn sie ein eigenes Passwort genutzt hätten. Immerhin wären alle übrigen Accounts, die sie noch haben, sicher gewesen.

So aber war die Möglichkeit, mit den bekannten Daten andere Dienste zu übernehmen, in greifbarer Nähe. Mir sind keine schwerwiegenden Schäden oder Verluste aus dem Datenklau bei Gawker bekannt. Doch heißt dies mitnichten, dass dies in jedem anderen Fall so verlaufen müsste. Wer aber die oben genannte Regel beherzigt und dedizierte Passwörter (mindestens für sicherheitsrelevante Bereiche) verwendet, kann sich einiges Kopfzerbrechen und viel Arbeit ersparen. Ändert mal die Passwörter für, sagen wir, nur zehn Online-Dienste. Ich habe besseres mit meiner Zeit zu tun, als mich mit solch einer Plage herumzuschlagen.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.