Der ominöse „Apple-Hack“ oder die Lücke bei Lastpass : immer wieder verunsichern Meldungen das Vertrauen der Nutzer in die Sicherheit Ihrer Passwörter und letztlich die Sicherheit ihrer Daten im Netz insgesamt. Welche Maßnahmen sorgen wirklich für entspannteres Surfen im Netz und wie könnte die Zukunft unserer Logins aussehen?
In der Hand der Nutzer
Wenn Agenten vor Jahrzehnten bei ihrer Mission Updates aus dem Hauptquartier empfingen, lief das häufig über ganz banale Technik. Per Radiofrequenz kamen Informationen zu den aktuellsten Entwicklungen als Morsecode oder Sprachansagen zu jedem, der die Radiofrequenz empfangen konnten. Die einzige Sicherheit der Geheimdienste: eine Karte, die den Entschlüsselungsalgorithmus enthielt. Mit dieser konnte nur der angesprochene Agent und seine Kollegen verstehen, was in den Morsezeichen tatsächlich verborgen ist.
Das Prinzip dieses Sicherheitsmechanismus’ gibt es in vielen Fällen auch heute noch. Dabei geht es dann weniger um Entschlüsselung, sondern zunächst um Authentifizierung. Während die Codekarte des Agenten in der Cryptosprache eine Art „Private Key“ war, sind solche helfenden Gegenständen, die nur der oder die Richtige in der Hand hält, immer noch relevant.
Auf die heutige Zeit übertragen: Ob man eine SMS bei jedem Anmeldeversuch erhält oder einen Code-Generator bei sich trägt: sobald eine zusätzliche Ebene der Authentifizierung hinzukommt, steigt die Sicherheit enorm. Denn damit steigt die Wahrscheinlichkeit, dass derjenige, der seine Daten eingibt, auch tatsächlich der „echte Nutzer“ ist. Wenn für eine Anmeldung neben Nutzername und Passwort auch eine dritte Instanz benötigt wird, beispielsweise das Smartphone des Nutzers oder ein Code, der ihm der Post geschickt wurde, steigt das Sicherheitsniveau deutlich. Selbst wenn der Nutzer versehentlich auf Phishing herein fällt und sein Passwort an einen Angreifer schickt, würde die folgende SMS auf einen Zugriffsversuch hinweisen.
Offline-Helfer und eigene Hilfsmittel, die Logins und Aktionen absichern, gibt es schon lange. TAN-Listen oder heute TAN per SMS oder einem elektronischen TAN-Generator sind sicherlich die bekanntesten und meist genutzten Beispiele. Das Grundprinzip besteht hier daraus, dass eine zusätzliche Schutzschicht existiert, die in der Theorie nur in der Hand des berechtigten Nutzers sein kann und nicht einfach erraten werden kann. Ein Beispiel ist der elektronische Personalausweis mit Lesegerät.
©Commerzbank
Jemand, der per Brute Force das Passwort errät oder die Daten per Social Engineering herausfinden will, wird daran scheitern, nicht im Besitz des Gerätes zu sein, das letztlich als Identifikator genutzt wird. So einfach dieses Prinzip ist, so effektiv funktioniert es.
Dennoch kann es auch hier Probleme geben. Stolpersteine sind hier beispielsweise Mängel in den Algorithmen, die derartige Freischaltcodes erzeugen. So waren die alten TAN-Listen für das Onlinebanking eines Tages nicht mehr sicher genug.
Ein anderes mögliches Problem entsteht, wenn die Trennung zwischen Geräten nicht mehr gegeben ist. Nutzt man beispielsweise das gleiche Smartphone für seine Bankingapp und als Gerät für die TAN-SMS, fehlt hier die nötige Trennung – und wir verstoßen gegen die Nutzungsbedingungen der Bank, die das selbstverständlich nicht für schlau hält. Auch eine Funktion wie Handoff von Apple sind hier ein wenig heikel. Denn wenn ein Anmeldecode eines Internetkontos als SMS ankommt und auf allem iPhones, iPads und Macs im Haushalt gleichzeitig aufspringt, dann ist das ebenfalls nicht ganz ideal und vertraulich.
Wie sicher sind SMS?
Auch wenn die Zwei-Faktor-Authentifizierung per SMS eine zusätzliche Sicherheitsschicht einzieht und somit grundsätzlich deutlich sicherer ist als nur E-Mail plus Passwort. Es ist nicht ohne Risiko, die eigene Mobilfunknummer vielfach bei unterschiedlichen Anbietern zu hinterlegen. Zum einen sind Telefonnummern nicht besonders geheim und somit eine potenzielle Angriffsfläche. Zum anderen ist die Nummer eine der persönlichen Daten, die man besonders ungern an Hacker herausgeben möchte.
Die gute Nachricht: Angreifer können unser Nutzerkonto nicht einfach mit einem Schritt knacken. Die klassische Kombination aus Anmeldename und Passwort ist durch einen einzigen erfolgreichen Phishing-Angriff oder Datenbankhack des Dienstes verloren und außer der Kontrolle des Nutzers. Jede weitere Sicherheitsschicht erfordert jedoch mehr Aufwand und einen zweiten erfolgreichen Angriff. Beispielsweise physischen Zugriff auf das Smartphone oder eine identische Zweit-SIM-Karte beim Anbieter zu erschleichen. Dies ist zwar möglich, erfordert jedoch einen deutlich gezielteren und aufwändigeren Angriff, der deutlich seltener ist als ein Datenbankhack.
Besser als SMS sind theoretisch eigene Methoden des Anbieters, die Identität des Nutzers doppelt zu bestätigen. Statt per SMS gibt es bei immer mehr Anbietern die Möglichkeit, sich über eine Smartphoneapp zusätzlich abzusichern. Sodass die App des Anbieters die Codes zeigt, mit der sich ein neues Gerät anmelden kann – oder Codes für Transaktionen.
Aussperren und Probleme verhindern
Wenn alle wichtigen Logins unserer Alltagsdienste mit der Telefonnummer verbunden sind, wird das Smartphone plötzlich zum Generalschlüssel. So sicher die SMS-Anmeldung grundsätzlich ist, so problematisch ist es gleichzeitig, wenn das Telefon plötzlich nicht mehr greifbar ist. Je nach Dienst gibt es unterschiedliche Möglichkeiten, sich ohne Zugriff auf das Zwei-Faktor-Telefon anzumelden oder das Passwort zurückzusetzen.
Einige Dienste bieten zusätzlichen Schutz durch Authentifizierungs-Apps. Beispielsweise Amazon, Microsoft oder Facebook erlauben eine zusätzliche Absicherung durch Drittanbieterapps. Diese sind beispielsweise Microsoft Authenticator. Diese Apps zeigen dem Nutzer einen Code, den er bei misslungenem Login oder einem neuen Gerät eingeben muss. Um dies zu aktivieren, muss nur einmal ein QR-Code eingescannt werden. Die Option dazu heißt je nach Anbieter „Code-Generator“ oder ähnlich. Diese Codes werden alle 30 Sekunden erneuert und sind somit in den Händen anderer wertlos.
Diese App mit der Option, Login-Codes zu empfangen, sollte selbstverständlich nicht (nur) auf demselben Telefon installiert sein, das auch Empfänger der Zwei-Faktor-SMS ist. Denn das macht es bei Verlust und Diebstahl unsicherer und wäre generell nicht sinnvoll. Denn kommen wir mangels Telefon nicht an unsere SMS, ist auch die App außer Reichweite. Ein iPad oder anderes Gerät wäre hier das Mittel der Wahl für die Wiederherstellungscodes.
Ähnliches gilt, wenn wir in naher Zukunft die Handynummer wechseln werden. Hier gibt es die Gefahr, sich versehentlich aus Webdiensten auszusperren, wenn man nicht rechtzeitig die Nummer ändert, bevor sie nicht mehr erreichbar ist. In einigen Fällen lässt sich die Zwei-Faktor-Authentifizierung noch mit anderen Mitteln zurücksetzen.
Ein weiteres Problem bei Zwei-Faktor-Authentifizierung: es verhindert teilweise die Anmeldung und Verbindung mit Drittplattformen. Beispielsweise, wenn man Dienst A mit Dienst B verknüpfen möchte und Dienst B per SMS-Freigabe gesichert ist. Dies kann die Verbindung behindern, wenn die SMS-Abfrage von Dienst B über Dienst A nicht unterstützt wird. Einige Dienste wie Facebook bieten an, dass man für solche Fälle Anwendungspasswörter für diese Drittdienste erstellen kann, um dieses Problem zu umgehen. In manchen Fällen machen scharfe Sicherheitseinstellungen es schwierig bis unmöglich, Dienste miteinander zu verbinden. Der Preis der Sicherheit.
Facebook und Co. als Passwortmanager
Haben Sie sich schon einmal bei einer Webseite oder in einer App registriert und dabei einfach „Mit Facebook anmelden“ geklickt? Diese Form der Authentifizierung gibt es bereits eine Weile und von verschiedenen Anbietern. Dies hat unterschiedliche Vor- und Nachteile. Einerseits ist es schnell und einfach für die User, was diese zu schätzen wissen. Zudem geben Sie somit nicht einem weiteren, Ihnen kaum bekannten, Anbieter ihre Daten.
Wenn ein Nutzer sich über Facebook, Twitter oder einen anderen Anbieter bei einem Dienst registriert der anmeldet, funktioniert dies über OAuth. Dies ist insbesondere dann wichtig, wenn dieser Dienst mit Twitter, Facebook und Co. verbunden werden soll. Beispielsweise eine Foto-App, mit der wir direkt auf Facebook posten wollen. Hier ist es sinnvoll und wichtig, dass wir hier nicht unsere Anmeldedaten dieser neuen App anvertrauen. OAuth ist hier die deutlich sicherere Variante.
Denn via OAuth erteilt der Dienst – beispielsweise Facebook – dem Drittanbieter nur gewisse Zugriffsrechte. Entzieht der Nutzer dem Dienst später in den Einstellungen diese Rechte, hat dieser keinen Zugriff mehr auf unser Facebook-Konto. Selbst wenn der Anbieter gehackt werden sollte, hat er keine Passwörter von uns an den Hacker verraten. Aufpassen sollten Nutzer bei dieser Methode, welche Kontoinformationen und -berechtigungen ein Dienst haben möchte. Beispielsweise die Namen unserer Freunde.
Im Vergleich dazu, möglicherweise die gleiche Mailadresse und das identische Passwort für eine neue Registrierung zu verwenden, ist eine Authentifizierung mit einem bestehenden Account deutlich sicherer. Wenn man denn möchte, dass diese Konten auch miteinander verknüpft sind. Wer lieber eine strikte Trennung vorzieht, der sollte sich ein eigenes, sehr sicheres Passwort für jede neue Registrierung überlegen.
Biometrisch sicher? Touch ID
Ein Teil moderner Sicherheitskonzepte basiert auf Hardwareauthentifizierung. Dies kann bedeuten, dass die Echtheit von Hardware untereinander mittels Securitychips bestätigt wird. Auf diesen Securitychips ist ein Schlüssel gespeichert. Beispiele dafür sind Kopierschutz HDCP bei HDMI-Verbindungen, TPM-Chips in Laptops oder Securitycontroller in IoT-Geräten. Wenn sich eine Kette von Bauteilen oder Kommunikationswege mittels Hardwareauthentifizierung abgleicht, kann dies die Sicherheit gegen Manipulation deutlich erhöhen.
Auch bei Touch ID handelt es sich im weiteren Sinne um Hardwareauthentifizierung. Nicht in dem Sinne, dass der Nutzer sich 100% vertrauenswürdig per Hardware identifiziert. Aber die Hardware selbst ist gegeneinander abgesichert. Vom Touch-ID-Sensor bis hin zur Secure Enclave innerhalb des iPhone-Prozessors ist es ein abgeschlossener Weg aus lauter hardwareauthentifizierten Bauteilen. Diese Echtheitsprüfung innerhalb der Kette soll sicherstellen, dass die kritischen Teile dieser Kette nicht kompromittiert sind. Nutzer merken davon im Normalfall nichts.
Bis sie einmal wegen eines gesprungenen Displays bei einer Handy-Werkstatt waren. Dann verweigerte Touch ID möglicherweise seinen Dienst, weil mit dem Display auch der Touch-ID-Sensor ausgetauscht wurde und nicht mehr original ist. Die Folge ist der berüchtigte „Fehler 53“. Dieser tritt oder besser: trat auf, wenn das iPhone einen Sicherheitsselbsttest nicht mehr besteht . Aus Nutzersicht wirkt das unverständlich und unnötig. Tatsächlich sind hardwaregesicherte Ketten kritischer Bauteile heutzutage immer wichtiger, um Manipulation zu verhindern. Bei Nutzern sind diese Maßnahmen nicht immer beliebt, weil sie teils als Gängelung oder Einschränkung wahrgenommen werden – wie im Falle des getauschten Touch-ID-Sensors.
Wenn wir schon dabei sind: wie sicher sind biometrische Merkmale wie Fingerabrücke, Gesichtserkennung oder Iris-Scanner, die in modernen Smartphones zunehmend Standard sind? Kurz gesagt: mittelsicher. Kaum eines dieser Mittel ist extrem sicher. Hier kommt es einerseits auf die Art der geprüften Merkmale als auch auf die Art der Implementierung.
Nehmen wir Touch ID als Beispiel: hier prüft das iPhone, iPad oder Macbook den Fingerabdruck des Nutzers. Hier wird eine digitale Repräsentation des echten Fingerabdrucks im sicheren Speicher der Secure Enclave gespeichert. Wenn wir per Touch-ID ein Gerät entsperren, und im App Store anmelden oder eine App freischalten, dann wird dabei nicht der eigentliche Fingerabdruck übertragen, sondern nur intern gegen die digitale Repräsentation getestet und das Ergebnis geteilt: richtiger Abdruck oder nicht. Diese Art der Implementierung verhindert zumindest, dass der Fingerabdruck gestohlen oder ausgelesen werden kann.
TPM-Chips sind ebenfalls eine Form der vertrauenswürdigen Authentifizierung. Dies kann beispielsweise ein zertifizierter Chip in einem Laptop sein, der gegenüber dem Betriebssystem bestätigt. Dies gilt für verschiedene Anwendungsfälle. Einerseits beispielsweise um die Echtheit von Hardware zu bestätigen. Ähnlich, wie Apple dies mit Lightning-Zubehör und Drittherstellern macht. Nur zertifiziertes Zubehör erhält einen Original-Lightning-Chip. Andererseits für verschlüsselte Kommunikation von Hardware untereinander.
Passwortmanager und Cloudpasswörter
Ganz egal, ob man einen Mac oder ein iPhone nutzt: Apple wird bereits mindestens ein Mal gefragt haben, ob man den „iCloud Schlüsselbund“ nutzen möchte. Der Schlüsselbund ist seit vielen Jahren Apples sichere Aufbewahrung für Einwahldaten und Passwörter. Die „iCloud“-Komponente synchronisiert diese über das Internet. Das klingt zunächst keineswegs nach einer guten Idee.
Doch wenn man mehrere Funktionen miteinander kombiniert, wird das Bild klarer: Wir melden uns bei einem neuen Dienst an und lassen uns von Safari automatisch ein zufälliges, sicheres Passwort vorschlagen. Diese willkürliche Kombination aus Zahlen, Buchstaben und Zeichen synchronisieren wir per iCloud-Schlüsselbund auf alle anderen Geräte. Dies erfordert zwar Vertrauen in Apple, sorgt aber in der Theorie für sehr sichere Zufallspasswörter, die automatisch auf allen verbundenen Apple-Geräten funktionieren.
Der iCloud-Schlüsselbund selbst kann durch einen Bestätigungscode oder Zwei-Faktor-Authentifizierung per SMS geschützt werden, wenn neue Geräte autorisiert werden sollen. Den Zugang zum Schlüsselbund zu erraten, ist laut Apple nicht möglich. Wenn der Code zu oft falsch eingegeben wurde, löscht Apple den gesamten Schlüsselbund von seinen Servern, so das Unternehmen. Das ist zwar sicher, lässt den Nutzer in diesem Falle mit einer ganzen Reihe Zufallspasswörter zurück, die er bei unterschiedlichen Diensten im Einsatz hat und eventuell selbst nicht einmal kennt. Lokal auf den Geräten sind diese dann jedoch noch gespeichert. iCloud-Schlüsselbund neu einrichten wäre dann noch möglich.
Ideale Passwort-Sicherheit – gibt es das?
Wer clever vorgeht und einige klassische Fehler vermeidet, der kann relativ sicher sein, keinen Daten-GAU zu erleben. Denn bereits heute bieten die meisten großen Webdienste zahlreiche Sicherheitsmaßnahmen. So leben Sie im Netz maximal sicher:
1. Individuelle Passwörter: Kein Passwort mehrfach verwenden. Schon gar nicht ein Passwort des E-Mail-Postfaches als Login bei anderen Webdiensten nutzen!
2. Wegwerfadressen oder Aliase nutzen : Besonders für noch unbekannte Webanbieter oder Einkäufe bietet sich dies an. iCloud erlaubt es, bis zu drei Aliase nach Belieben zu aktivieren und deaktivieren. Kommt zu viel Spam über ein Alias an, schalten wir ihn einfach aus und nutzen ihn erst für die nächste Anmeldung mit Spamgefahr wieder.
3. Passwortmanager wie iCloud-Schlüsselbund oder 1Password helfen dabei, sichere Passwörter zu erstellen.
4. Zwei-Faktor-Authentifizierung nutzen: Per SMS oder besser: per Partner-App eines Dienstes, falls dort Codes per eigener App angeboten werden. Sollte unbedingt für alle neuen, unbekannten Geräte aktiviert werden. Bei schlecht geschützten Geräten wie ein Laptop ohne Passwort und Verschlüsselung sogar bei jeder Anmeldung. Dazu möglichst Benachrichtigungen aktivieren, wenn sich ein bisher unbekanntes Gerät anmelden möchte.
5. Der Faulheit widerstehen: Bei wichtigen, kritischen Diensten keine Passwörter im Browser speichern und Freischaltcodes bei jeder Anmeldung anfordern.
6. Misstrauisch sein: Wenn Sie das Gefühl haben, dass eines Ihrer Konten kompromittiert sein könnte: Ändern Sie sofort das Passwort und nutzen Sie – falls möglich – die Funktion „von allen Geräten abmelden“.