1545901

Sicherheit im Zeitalter der Cloud

09.08.2012 | 08:49 Uhr |

Der Fall Mat Honan zeigt, dass im Zeitalter der Cloud Sicherheitsprobleme schwerwiegende Folgen haben können. Apple muss reagieren.

Mat Honan, ehemaliger Redakteur unserer US-Schwester Macworld, war in der vergangenen Woche Opfer eines Hacker-Angriffs geworden, bei dem er nicht nur alle Daten auf iPad, iPhone und Macbook verloren hatte, sondern Dritte an seine Passwörter für Twitter und Google+ gelangt waren. Der Angreifer nutzte in diesem Fall jedoch keine komplizierten Algorithmen, um sich Zugang zu Honans Konten zu verschaffen, sondern rief lediglich Apples Support-Hotline an. Am Telefon gab er sich als Honan aus und gab die passenden Antworten zu den von Apple erforderten Sicherheitsfragen, die den iCloud-Nutzer eigentlich vor feindlichen Übergriffen schützen sollen. Darunter waren auch die letzten vier Ziffern der Kreditkarte Honans, die sich der Hacker mühelos über Amazon beschaffen konnte. Die Folge: Der Hacker löschte sämtliche Dateien, die Honan über ein Jahr lang gesammelt, aber nicht als Sicherheitskopie gespeichert hat.

Apples Support-Website: Mit geschicktem Social Engineering konnten Hacker das iCloud-Passwort zurücksetzen lassen.
Vergrößern Apples Support-Website: Mit geschicktem Social Engineering konnten Hacker das iCloud-Passwort zurücksetzen lassen.

Diese Angriffstaktik ist als „ social engineering " bekannt und zielt auf das schwächste Glied in der Sicherheitskette ab: andere Menschen. Überzeugt ein Angreifer den Kundenberater am anderen Ende der Leitung, dass er oder sie der rechtmäßig Kontoinhaber sei, kann der Hacker das sicherste Passwort der Welt problemlos ausspionieren und missbrauchen. Apple hat auf den Vorfall reagiert, Passworte sollen sich nicht mehr so leicht über den Apple Support zurücksetzen lassen. Im Zeitalter der iCloud sind also neue Sicherheitsstrategien gefragt. Unser Ratgeber zeigt, welche.

Sicheres Passwort

Ein sicheres Passwort ist die Grundlage für den Schutz der eigenen Daten. So sollte man sich bei der Wahl seines Passwortes etwas Mühe geben: Informationen wie der Geburtstag oder der Name eines Familienmitglieds sind als Passwort zu unsicher. Jeder, der Zugang zum Facebook-Profil des Opfers hat, kann diese Informationen problemlos herausfinden. Ebenfalls gefährlich sind vereinfachte Passwörter wie „1234" oder einfach nur „Passwort".

Passworte sollten eine Mindestlänge haben und nicht leicht zu erraten sein.
Vergrößern Passworte sollten eine Mindestlänge haben und nicht leicht zu erraten sein.

Ein sicheres Passwort muss zwei wichtige Kriterien erfüllen: Zum einen sollte es schwer zu erraten sein – das heißt, der Angreifer muss es entweder direkt vom Opfer erfahren - oder über die beschriebenen Methoden des Social Engineering. Zum anderen sollte sich ein gutes Passwort leicht merken lassen – das heißt, sobald es so kompliziert ist, dass Sie es sich aufschreiben müssen, laufen Sie Gefahr, dass es in die falschen Hände gerät. Beispiel: Ein aus zufällig erstellten alphanumerischen Zeichen erstelltes Passwort wie „xdK92z!" ist nicht nur schwer zu merken, sondern auch leicht zu hacken, nicht nur, wenn Sie es sich auf einen am Bildschirm klebenden Notizzettel notiert haben. Tipp: Erhöhen Sie den Sicherheitsgrad Ihres Passworts, ohne es dabei für Sie selbst zu verkomplizieren. Wählen Sie dazu einen vollständigen Satz – dieser Schritt vermeidet, dass ein Computer Ihr Passwort durch die Brute-Force-Taktik  errät. Verwenden Sie beispielsweise die leicht zu merkende Phrase „Sechs Hunde aßen Schnitzel in einem Herrenbekleidungsgeschäft", muss der Hacking-Algorithmus hingegen sieben einmalige Wörter hintereinander korrekt erraten.

Passwörter sind nicht wiederverwertbar

Das Dienstprogramm Schlüsselbundverwaltung speichert Passwörter aller Art.
Vergrößern Das Dienstprogramm Schlüsselbundverwaltung speichert Passwörter aller Art.

Sie sollten vermeiden, dasselbe Passwort für mehrere Webseiten beziehungsweise Konten zu verwenden. Obwohl Apples Verwaltungs-Tool Schlüsselbund Passwörter sicher verwahrt, können Sie genauso gut selbst Hand anlegen. Behalten Sie den Kern des Passworts bei und tauschen Sie lediglich Vor- und Nachsilben aus. Beispiel: Nutzen Sie „ANSechs Hunde aßen Schnitzel in einem Herrenbekleidungsgeschäft" für Amazon und „EYSechs Hunde aßen Schnitzel in einem Herrenbekleidungsgeschäft" für Ebay. Sollte ein Hacker das Passwort für Ihr Amazon-Konto knacken, hat er – trotz der Ähnlichkeit – noch lange keinen Zugang zu Ihrem Ebay-Konto. Hinweis: Je komplexer Sie Ihr Passwort anlegen, desto besser sind Sie vor Hacking-Angriffen geschützt.

Die Sicherheits-Frage(n)

Mittels der Hacking-Taktik „social engineering" können Angreifer selbst das hartnäckigste Passwort auskundschaften. Um sicherzustellen, dass auch wirklich Sie sich hinter dem Anrufer befinden, verlangt der Kunden-Service in der Regel Antworten auf Sicherheits-Fragen. Im Laufe der Zeit haben Banken und andere Firmen häufig gestellte Sicherheits-Fragen wie „Wie lautet der Mädchenname Ihrer Mutter?" durch etwas ausgefallene Fragen wie „In welcher Stadt haben Sie Ihren Partner kennengelernt?" ersetzt, um somit die Sicherheit zu erhöhen. Alternativ können Nutzer mittlerweile Sicherheits-Fragen sogar selbst erstellen. Doch: Hier laufen Sie wiederum Gefahr, dass Sie sich nach einigen Monaten oder Jahren an die von Ihnen bereitgestellte Antwort nicht mehr erinnern.

Die richtigen Antworten nach langer Zeit in Erinnerung zu rufen, stellt häufig ein gravierendes Problem dar. Lösung: Verwenden Sie beispielsweise Ihr Passwort in Verbindung mit Ihrer Antwort. Beispiel: Lautet der Mädchenname Ihrer Mutter „Mittermaier", wäre eine sichere Variante „Mittermaier Schnitzel Herrenbekleidungsgeschäft". Diese Taktik ist allerdings nur so lange sicher wie der Kunden-Berater Ihre Daten verwahrt.

Pros und Cons von iCloud

iPhone finden: Was praktisch ist, hat man iPhone oder iPad verloren, erwies sich in Honans Fall als fatal: Alle Daten wurden aus der Ferne gelöscht
Vergrößern iPhone finden: Was praktisch ist, hat man iPhone oder iPad verloren, erwies sich in Honans Fall als fatal: Alle Daten wurden aus der Ferne gelöscht

Apple fördert iCloud gemeinsam mit seinem jüngsten Betriebssystems Moutain Lion. Obwohl es äußerst hilfreich ist, jede Zeit und allerorts auf wichtige Informationen über das Internet zugreifen zu können, bringt das allerdings auch einige Sicherheitsprobleme mit sich. Der Suchdienst „iPhone suchen" beispielsweise erlaubt es Ihnen zwar Daten über die Entfernung zu löschen und diese somit vor unbefugten Dritten zu schützen, doch gleichzeitig können Hacker über diesen iCloud-Dienst ebenso Ihren derzeitigen Aufenthaltsort herausfinden – sollten Sie gerade nicht zuhause sein, können potentielle Einbrecher dies zu ihrem Vorteil nutzen und in Ihrer Abwesenheit die Wohnung leer räumen. Zudem können Hacker – genau wie Sie – Daten auf Ihrem Gerät löschen. Sollten Sie zuvor kein Backup Ihrer auf dem Gerät gespeicherten Daten angelegt haben, kann dies unter Umständen zu gravierenden Schäden führen.

Sicherheitskopie anlegen

Sicherheitskopien ersparen Ihnen jede Menge Ärger, sollte es aus irgendeinem Grund zum Datenverlust kommen. Online-Sicherheitskopien retten zwar Daten, sollte ein Hausbrand Ihre externe Festplatte einschmelzen, doch dem Betreiber Ihrer Online-Sicherheitskopie das einzige Backup zu überlassen, erweist sich als äußerst unklug. Somit empfiehlt sich zum einen ein lokales Time-Machine-Backup anzulegen sowie auf einer externen Festplatte zu speichern und zum anderen Daten parallel in einem alternativen Cloud-Computing-Konto wie dem kostenlosen Dienst Dropbox zu sichern.

Trotz dieser Sicherheitsrisiken müssen Sie allerdings nicht gleich vollkommen auf die praktischen Vorzüge von iCloud verzichten. Treffen Sie die notwendigen Sicherheitsvorkehrungen, vermeiden Sie dadurch in der Regel unerwünschte Überraschungen und kommen in den Genuss der bequemen und jederzeit zugänglichen Datenverwaltung.

Sicherheit bei Google: Two Factor Authentication

Wie Apple genau den Prozess der Passwortwiederherstellung neu aufsetzen wird, hat der iCloud-Anbieter noch nicht verraten. Vorbild könnte jedoch der Prozess sein, den Google einsetzt. Beim Zurücksetzen seines Passwortes muss man nicht nur eine Frage korrekt beantworten, sondern seine Identität auch über einen zweiten Faktor bestätigen, im speziellen Fall das Mobiltelefon, auf das Google eine zu bestätigende SMS schickt. Zu diesem Zwecke muss man jedoch die Scheu überwinden, im Google-Profil seine Handy-Nummer zu hinterlegen.

0 Kommentare zu diesem Artikel
1545901