Dem Hacker ein Schnippchen schlagen
8. September 2014
Die IT-Welt wartet gespannt auf nächsten Dienstag (09.09.2014): Wird Apple auf seiner Pressekonferenz ein neues iPhone-Bezahlsystem enthüllen? Nach Angaben des Unternehmens ließe sich mit dieser Funktion das Handy wie eine Kreditkarte einsetzen.
Es heißt, Apple habe sich bereits mit den führenden Kreditkartenanbietern geeinigt. Das Bezahlsystem werde sich auf die Technik der Nahfeldkommunikation stützen, mit der sich berührungsfrei Daten übertragen lassen. Smartphones könnten dann in Zukunft die Plastikkarten im Portemonnaie ersetzen.
Allerdings stellt sich die Frage: Wie sicher ist das? Ist das eine weitere Technik, die Angriffspunkt für Hacker weltweit wird? Wahrscheinlich schon, meint Cyber-Sicherheitsforscher Sandro Gaycken von der Freien Universität Berlin im DW-Interview. "Dann wird es [für Hacker] erst richtig interessant. Und je interessanter es ist, desto mehr Kriminelle zieht man an."
Nacktfotos geklaut
Sogar bei bereits etablierter Technik sind Sicherheitslücken keine Seltenheit. Zwar sind die meisten Menschen nicht so unvorsichtig, auf einen Link zu klicken, der sie per E-Mail erreicht hat und sie auffordert, alle Kontendaten zum Online-Banking irgendwo einzugeben. Aber die meisten Kriminellen brauchen die Unterstützung der Nutzer gar nicht.
Erst letzten Montag (01.09.2014) wurde bekannt, dass eine FBI sucht Hacker wegen Promi-NacktfotosGruppe Hacker virtuell in Apples iCloud eingebrochen war# und unzählige Nacktfotos von Hollywoodstars heruntergeladen hatte. Offensichtlich haben die Hacker Passwörter und Antworten auf Sicherheitsfragen herausbekommen und sich so Zugang zu Konten verschafft.
Wie IT-Experte und Sicherheitsforscher Jonathan Zdziarski in seinem Blog schreibt, haben die Hacker eine kommerzielle Software für Kriminalbeamte benutzt, um das iCloud-Backup-System der Opfer zu plündern. Dafür scheinen die Hacker eine Schwäche in Apples System ausgenutzt zu haben, sagt Zdziarski: Eine Software konnte unbegrenzt Passworteingaben machen, ohne dass das Konto nach mehrmaliger falscher Eingabe gesperrt wurde. Jedes Handy hingegen wird nach dreimaliger falscher PIN-Eingabe gesperrt.
Die Cloud meistern
Sicherheitsforscher Gaycken verwundert der Vorfall nicht: "Es gab schon oft Sicherheitsprobleme bei Clouds." Mit der Cloud kann der Nutzer Fotos, Dokumente und andere Daten auf weit entfernten Servern speichern und von überall darauf zugreifen.
Es sei "oft sicherer als andere Speicherarten", sagte Rich Mogull, Firmenchef bei Securosis, einer Unternehmensberatung in Bezug auf IT-Sicherheit. Gegenüber der Presseagentur AP äußerte er, dass Unternehmen viel Geld darin investieren, um den Schutz der Kundendaten sicherzustellen.
Andere IT-Experten widersprechen. Etwas in einer Cloud zu speichern, bedeute, jemand anderem die Kontrolle über seine Daten zu geben. "Sie nennen das Service, aber eigentlich geht es nur darum, Daten von den Nutzern zu erheben", sagt Gaycken. Sensible Daten solle man niemals in einer Cloud abspeichern, "also die Nacktfotos lieber zu Hause auf der Festplatte aufbewahren".
Automatisch Daten weitergeben
Aber warum speichert überhaupt jemand Nacktfotos in einer Cloud? Die Antwort ist, dass viele Menschen - sicher inklusive der Stars, die man jetzt beklaut hat - es tun, ohne es zu wissen. Wenn jemand ein Foto mit seinem iPhone macht, wandert es automatisch in das Backup-System in Apples iCloud.
Laut Zdziarski "sind diese Funktionen automatisch aktiviert, ohne dass der Nutzer darüber informiert wird, dass seine Daten von seinem Gerät in einen weit entfernten Speicherplatz kopiert werden." Viele Opfer haben also vermutlich gar nicht gewusst, dass ihre Fotos in die iCloud wanderten. Wer sicher gehen will, dass das bei ihm nicht passiert, sollte die Einstellungen an seinem Handy überprüfen und gegebenenfalls ändern.
Viele Apps für Smartphones funktionieren genau so, sagt Gaycken. Wer eine neue App installiert, muss Nutzungsbedingungen zustimmen. Und da stehe sehr oft drin, dass man einverstanden ist, seine Daten zu teilen. "Alles, was gratis ist, ist nichts als Datenerheberei", sagt er, "denn Daten sind das neue Gold."
Im Zweifelsfall bleibt einem nichts anderes übrig, als den Nutzungsvertrag eingehend zu lesen und notfalls auf die App zu verzichten.
Doppelt genäht hält besser
Apple rät allen Nutzern, Zwei-Faktor-Authentifizierung zu benutzen, um seine Konten zu schützen. Die meisten großen Cloud-Anbieter ermöglichen diese Art von Schutz. Dabei ist eine zweite Art der Authentifizierung nötig, um sich in ein Konto einzuloggen. Nur Nutzername und Passwort reichen nicht. Zusätzlich braucht man beispielsweise einen Fingerabdruck oder ein Smartphone, auf das eine SMS mit einer Nummer geschickt wird.
Wenn jemand das Passwort stiehlt, kann er damit nichts anfangen - außer er hat das Mobiltelefon gleich mit gestohlen. "Für normale Nutzer ist das völlig ausreichend", sagt Gaycken. Aber auch dieser Schutz lasse sich umgehen, wenn man nur genug Arbeit reinsteckt. Das Ziel müsse also der Mühe wert sein. Und bei Apples iCloud sei das bestimmt der Fall.
Das Wichtigste: das richtige Passwort
Um seine Daten zu schützen, kann aber jeder etwas tun: sich mehr Mühe bei der Auswahl der Passwörter geben. Gaycken rät davon ab, Namen oder Geburtstage als Teile des Passworts zu verwenden, "auch Hundenamen sind schlecht."
Möglichst sollten die Passwörter keine Wörter sein, die in irgendeinem Lexikon stehen, sondern ein wilder Mix aus Zahlen, Buchstaben und Sonderzeichen. Und auch wenn es extrem viel Arbeit ist: Idealerweise sollte für jeden Online-Zugang ein anderes Passwort gewählt werden, und nicht das Gleiche für Twitter, Facebook, ebay und das Online-Banking.
"Und natürlich darf man diese Passwörter nicht aufschreiben. Und man muss sie alle paar Wochen ändern", sagt Gaycken. Aber er weiß, dass das sehr viel verlangt ist. Selbst er halte sich nicht an alle diese Regeln.