Online-Identität sichern

Ich habe gerade einen ziemlich erschreckenden Artikel in der c‘t gelesen, der beschreibt, wie ein Angreifer das komplette digitale Leben des Journalisten Mat Honan zerstört. Twitter-Account gekapert, E-Mail-Konto gelöscht, Amazon-Konto übernommen sowie alle seine Apple-Geräte ferngelöscht! Lest euch die Geschichte am besten von Honan selbst erzählt durch, zu finden auf wired.com.

Unterm Strich lag die Misere an einer Verkettung von eigener Nachlässigkeit und laxen Sicherheitsregeln bei großen Firmen. Apple hat z.B. telefonisch Zugangsdaten rausgerückt und im Gegenzug nach sehr wenigen mehr oder weniger öffentlichen Infos gefragt. Gmail hat offenbar eine Recovery-Adresse teilweise öffentlich angezeigt und bei Amazon kann man ebenfalls telefonisch mit sehr wenigen Infos Änderungen am Account vornehmen. Mich hat das dazu gebracht, mal wieder intensiver über die Sicherheit meiner Daten nachzudenken, und ein paar Überlegungen dazu wollte ich hier auch mal aufschreiben.

Accounts sichern

Eigentlich sollte das selbstverständlich sein, aber ich habe es auch jahrelang anders gemacht: Man sollte nie für alle Accounts das gleiche Passwort nutzen! Man muss sich dabei einfach klarmachen, dass es bei der Sicherheit dieses Passworts nicht auf die am besten geschützten Seiten ankommt, sondern auf die am schlechtesten geschützten. Dieses Passwort wird am Ende mit großer Wahrscheinlichkeit nicht bei Google oder PayPal geknackt, sondern in dem kleinen Online-Shop, wo man nur einmal was bestellt hat und in dessen veraltetem CMS die Passwörter noch als Klartext gespeichert werden. Die Ganoven, welche die Datenbank des Online-Shops geklaut haben, werden mit der Kombination aus E-Mail-Adresse und Passwort aber garantiert auch alle großen Online-Dienste durchprobieren.

Für sichere Passwörter gibt es zwei Strategien. Für alle Seiten, bei denen ich relativ sicher bin, dass ich nie unterwegs notfallmäßig dran muss, lasse ich mir ein sehr langes Zufallspasswort generieren und speichere es in KeePass. Dabei handelt es sich um eine Software zum Verwalten von Passwörtern; die Passwort-Sammlung ist wiederum mit einem Master-Passwort geschützt. Ich glaube wirklich, dass man ohne heute nicht mehr auskommt! Klar muss man auf diese Datei dann besonders aufpassen und ein längeres Master-Passwort nutzen. Für den Komfort im täglichen Leben kann man die Passwörter ja immer noch zusätzlich im Browser speichern lassen, natürlich auch nur mit Master-Passwort.

Für Seiten, an die man auch mal unterwegs dran muss und wo zufällige Zeichenkombinationen also eher ausscheiden, sollte man einfach auf einen längeren Satz zurückgreifen. Außer einigen bekloppten Diensten, die einem das tatsächlich verbieten, hindert einen nämlich niemand daran, Leerzeichen in seiner Passphrase zu verwenden. Damit kriegt man automatisch gut merkbare und ausreichend lange Passwörter hin.

Weakest Links suchen

Das beste Passwort nützt nichts, wenn der Anbieter am Telefon einfach ein neues Passwort rausrückt. Man sollte sich also mal eine Liste aller Accounts erstellen, die wirklich wichtig sind: Alle Accounts, die direkt Zugriff auf Finanzen ermöglichen (Online-Banking, PayPal). Alle Accounts, über die Geld ausgegeben werden kann (Online-Shops mit gespeicherten Zahlungsdaten). Alle Accounts, über die Zugang zu anderen Accounts erlangt werden kann (E-Mail). Und natürlich auch alle Accounts, die wichtige Daten enthalten (Fotosammlung) oder die das eigene öffentliche Auftreten bestimmen (Blog, Twitter, Facebook).

Hier sollte man sich dann mal für einen Moment in die Rolle eines Angreifers versetzen und überlegen, wie man Zugang zu diesen Accounts erlangen könnte. Welche Infos werden auf der „Passwort vergessen?“-Seite abgefragt? Wohin wird die E-Mail mit dem neuen Passwort verschickt? Kann man Änderungen am Account telefonisch vornehmen? Hier kann man dann eventuell nachbessern, z.B. indem man auf die bei vielen Anbietern beliebten Sicherheitsfragen nicht die tatsächlichen Antworten setzt, die auch jemand anders ermitteln könnte. Man sollte dabei auch immer überlegen, welche Daten öffentlich sind oder zumindest öffentlich sein könnten. Zahlungsdaten hinterlässt man etwa in vielen Shops, und würde man wirklich misstrauisch werden, wenn eine Webseite oder ein Chat-Partner einen z.B. nach der Grundschule fragt, auf die man gegangen ist? In Honans Fall sieht man ja gerade, dass solche Angriffe immer noch am effektivsten und schnellsten über Social Engineering funktionieren.

Abhängigkeiten ermitteln

Man sollte sich auch mal vergegenwärtigen, welche Accounts mit anderen zusammenhängen, direkt oder indirekt. Ehrlich gesagt wäre ich auch nicht darauf gekommen, dass jemand mit den bei Amazon angezeigten letzten vier Ziffern meiner Kreditkarte etwas anfangen könnte (wie in Mat Honans Fall geschehen). Aber schon bei kurzem Überlegen leuchtet ein, was für einen Schaden jemand anstellen kann, der das E-Mail-Konto übernommen hat, auf das die Passwort-vergessen-Funktionen aller anderen Accounts neue Passwörter verschicken. An solchen Schlüsselstellen muss man dann ggf. etwas mehr Sicherheit anwenden oder aber die Abhängigkeiten so gut es geht verringern.

So könnte man z.B. als PayPal-Adresse nicht eine öffentlich bekannte Mailadresse verwenden. Wenn man eine eigene Domain hat, kann man dort auch in der Regel beliebig viele Mailadressen als Weiterleitung auf das Hauptkonto anlegen. Auf diese Weise könnte man dann für alle möglichen öffentlichen Zwecke E-Mail-Adressen kreieren. Über die Adresse, mit der man auf Mailinglisten angemeldet ist, könnte sich dann niemand bei PayPal einloggen. „Security by Obscurity“ ist natürlich prinzipiell keine gute Idee, aber gerade bei gezielten Angriffen kommt es schon darauf an, was der Angreifer weiß oder herauskriegen kann.

Eigenen Zugang sichern

Man sollte andersherum auch im Blick behalten, wie zuverlässig man im Notfall selber wieder Zugang zu seinen Daten bekommt. Ich z.B. habe meine E-Mail-Adresse bei meinem Hoster DomainFactory, bei denen ich sicher bin, im Zweifelsfall ohne großen Aufwand einen tatsächlichen Menschen ans Telefon zu kriegen. Bei internationalen Konzernen läuft man dagegen in solchen Fällen ja gerne auch mal gegen eine Wand aus Textbausteinen, entsprechende Fälle kann man zur Genüge in der c’t und in den Heise-News nachlesen.

Fazit

Jeder, dem seine Online-Identität etwas bedeutet, sollte sich ein, zwei Stunden Zeit nehmen und mal überlegen, was besser geht. Kleine TODO-Liste:

  • Ein Backup der wichtigen Daten anfertigen, und zwar am besten verschlüsselt und Off-Site. Die Backup-Platte im Schrank nützt nichts, wenn ein Feuer ausbricht…
  • Prüfen, bei welchen Services die gleichen Passwörter im Einsatz sind, und das sofort ändern.
  • Prüfen, bei welchen Services sehr kurze Passwörter im Einsatz sind, und das auch sofort ändern.
  • Bei allen wichtigen Services prüfen, mit welchen Mitteln man das Passwort rücksetzen kann, und hier ggf. nachbessern.
  • Nicht für alle Services den gleichen Login, also in der Regel die gleiche E-Mail-Adresse, verwenden, sondern lieber viele Weiterleitungen anlegen.
Veröffentlicht unter Blog

Ein Gedanke zu “Online-Identität sichern

  1. Der Standardnutzer wird wohl immer die gleichen Passwörter verwenden, bis ihm eines Tages auffällt, dass er sich nicht mehr in seinem Email Postfach einloggen kann. Dann geht das große Theater los.

    Aber ganz ehrlich, so richtig schützen kann man sich nicht. Ich selber habe an die 3-5 Passwörter. Aber in laufe der Zeit, registriert man sich doch schon überall…

    Am besten wäre so ein Fingerprint Passwort, oder Netzhautscanner 😮

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte beachte die Kommentarregeln: 1) Kein Spam, und bitte höflich bleiben. 2) Ins Namensfeld gehört ein Name. Gerne ein Pseudonym, aber bitte keine Keywords. 3) Keine kommerziellen Links, außer es hat Bezug zum Beitrag. mehr Details...

So, noch mal kurz drüber schauen und dann nichts wie ab damit. Vielen Dank fürs Kommentieren! :-)