07.08.12

Cloud-Service

Im Internet bloßgestellt - ein digitaler Albtraum

Simple Passwörter ermöglichen Hackern Zugriff auf private Daten. Cloud-Dienste erhöhen das Risiko im Netz zusätzlich.

Von Benedikt Fuest

Der US-Journalist Mat Honan erlebte seinen persönlichen digitalen Alptraum: Während er mit seiner Tochter spielte, schaltete sich plötzlich sein iPhone ab, nur um dann, komplett gelöscht, ohne Inhalte neu zu starten. Als Honan daraufhin seinen Apple-Laptop aufklappte, um ein Backup seines iPhones aufzurufen, war dieser gesperrt. Auch Honans iPad war gelöscht, und als er daraufhin alarmiert versuchte, seinen Mailaccount bei Googles E-Mail-Service GMail zu öffnen, war auch dieser nicht mehr zugänglich.

Wenig später musste Honan zusehen, wie ein unbekannter Eindringling erst die Festplatte seines Laptops, dann sein Gmail-Konto, dann seine Backup-Dateien bei Apples Cloud-Service iCloud per Befehl aus dem Netz löschte. Während Honan verzweifelt die Apple-Servicenummer um Hilfe anflehte, begannen Hacker damit, Obszönitäten auf seinem Twitter-Account, sowie auf dem damit verknüpften Account seines Arbeitgebers Gizmodo zu veröffentlichen.

Erst am Sonntag konnte Honan mit Hilfe von Bekannten bei Google und Twitter zumindest Teile seiner Daten retten, und die Kontrolle über seine Online-Konten wieder gewinnen. Doch Dokumente, Photos und Daten der vergangenen Monate muss er verloren geben, hinzu kommt die Demütigung, das Gefühl des Kontrollverlustes. "Ich wurde vollständig gehackt und konnte nichts dagegen tun", schreibt er in seinem Blog.

Honans Hacker, ein Kollektiv namens "Clan Vv3" hatten sich eine Schwäche zunutze gemacht, von der viele "Digital Natives" betroffen wären: Apple wie auch Google und Microsoft bieten Cloud-Dienste an, die möglichst viele Funktionen unter einem Passwort, einem Login-Namen vereinen. Apples iCloud etwa bietet nicht nur eine Backup-Funktion und eine eigene Mailadresse, sondern erlaubt auch, Geräte von Ferne zu löschen und zu sperren.

Die Hacker machten sich das zu Nutze: Bei einem simplen Anruf bei Apples Servicenummer gaben sie sich als Mat Honan aus und überredeten einen Support-Mitarbeiter, entgegen aller Richtlinien Honans Passwort zu ändern. Hat ein Fremder erst einmal Zugang zu einem Mail-Account, kann er ganz einfach alle anderen Online-Aktivitäten seines Opfers kontrollieren: Fast jeder Online-Service bietet vergesslichen Nutzern an, ein Passwort per Recovery-Mail zu ändern.

Passwort seit Jahren nicht geändert

Der Fall Mat Honan zeigt, wie sehr die Nutzer der neuen Cloud-Dienste auf die Sicherheit ihrer Passwörter, ihrer Mailkonten angewiesen sind. Im krassen Gegensatz dazu steht jedoch die Sorglosigkeit der Nutzer bei Auswahl und im Umgang mit ihren Account-Informationen. Unlängst musste Yahoo eingestehen, dass die Login-Daten von 450.000 Nutzern von Hackern entwendet wurden. Wenig später stellten die Täter alle entwendeten Daten online. Eine Analyse der US-Sicherheitsexperten von Enterprise Innovation ergab: Das beliebteste Passwort war die Kombination 123456, auf Platz zwei folgte "password".

Viele Internet-Nutzer haben vor Jahren ihren Mail-Account eingerichtet, das Passwort seitdem nicht mehr geändert. Damals war der Account nur ein wenig genutztes Email-Postfach - heute jedoch der Schlüssel zu einer langsam gewachsenen digitalen Identität, zu Foto-Diensten, Facebook-Seiten und Amazon-Konten. Fatalerweise jedoch haben sich viele Internet-Nutzer angewöhnt, dasselbe Passwort, die selbe Mailadresse auch für Online-Shops oder Forum-Seiten zu verwenden. Mit jedem neuen Datensatz im Netz jedoch steigt die Wahrscheinlichkeit, dass eine der Seiten irgendwann gehackt wird, die Login-Infos in falsche Hände geraten.

"Liebe Kundin, unsere IT-Experten haben festgestellt, dass sich trotz umfassender Sicherheitsvorkehrungen Unbekannte unerlaubt Zugriff auf unser System verschafft haben", schrieb der Berliner Online-Brillenhändler Mr. Spex vergangene Woche kleinlaut seinen deutschen Kunden, und riet zum Passwort-Wechsel. Wenn das Leck nur das Brillen-Konto umfasst, ist das nur ein kleines Problem. Wenn die Täter mit demselben Passwort jedoch auch bei Apples iCloud Zugang finden sollten, ist das Problem riesig groß.

Wenn Hacker Zugang zur Datenbank gewinnen, bringt ihnen das zudem meist nur eine Liste von verschlüsselten Informationen, sogenannten Hashes. Inzwischen schaffen moderne Computer aber mit Hilfe von leistungsstarken Grafikkarten, Milliarden Passwörter auszuprobieren. Auf der US-Hacker-Konferenz Defcon stellte ein Hacker vergangenes Wochenende das Tool "Cryptohaze" vor. Satte 156 Milliarden Kombinationen pro Sekunde rechnet es durch.