Passwortleaks bei eBay und unsicheres Truecrypt

Die Sicherheitsmeldungen der letzten Wochen können wieder einmal Angst und Schrecken verursachen. Ein Datenleck bei eBay zwingt alle User zum Ändern der Passwörter und die Entwickler der Festplattenverschlüsselungssoftware TrueCrypt geben auf.

Da ist man einmal für zwei Wochen in Urlaub und schon bricht die Welt zusammen. Nein, nicht die reale Welt ist von einem Tsunami überrollt worden, sondern neuerliche Sicherheitslücken sind aufgetaucht. Diesmal hat es einen der ganz großen getroffen: eBay.

Das Entsetzen und Geschrei hielt sich aus der Ferne betrachtet im Rahmen. Hat der gemeine Internetnutzer sich vielleicht schon an diese Meldungen gewöhnt? Oder ist schon jeder zwischenzeitlich so aufmerksam geworden, dass er sich selber durch geeignete Sicherheitsmaßnahmen ausreichend schützt?

Wie dem auch sei, der erste Punkt ist in jedem Fall von Bedeutung, denn an Meldungen wie diese werden wir uns im Internet gewöhnen müssen. Kein System im Internet ist zu 100% sicher und ich wage zu behaupten, dass jeder Server im Netz wird in einmal von Crackern heimgesucht werden. Ob mit den dann gewonnenen Daten Schaden angerichtet werden kann, steht auf einem anderen Blatt.

Ist dies denn anders als in der realen Welt? Mitnichten! Auch in der wirklichen Welt wird in Geschäften und Privathäusern eingebrochen und Banken ausgeraubt. Die Auswirkungen und die Öffentlichkeitswirksamkeit sind nur andere. Bei einem physischen Einbruch wird ein lokaler Schaden angerichtet von dem in der Regel nur der (einzelne) Eigentümer betroffen ist. Der gestohlene Fernseher oder das Service ist mehr als nur ärgerlich, die Rennerei mit Polizei und Versicherung kostet weitere Zeit und Nerven. Die angeschlagene Psyche des Betroffnenen ist vermutlich der größte Schaden, den man dabei zurück behält.

Die Öffentlichkeitswirkung ist ebenfalls anders. Von dem Einbruch im Privathaushalt erfahren vermutlich die Nachbarn, bei einem Bankraub geht es in der Regel auch über die Presse an eine größere Öffentlichkeit. Nach wenigen Tagen hat sich das Thema dann auch wieder für die Nicht-Betroffenen erledigt.

Es gibt durchaus auch bedeutendere Fälle, die denen im Internet nahe kommen. Das sind Diebstähle, bei denen aus Anwaltskanzleien, Steuerberatungsbüros oder Arztpraxen die EDV entwendet wird. Vermutlich geht es in diesen Fällen den Dieben nur um die Reine Hardware, doch man darf in keinem Fall vergessen, dass auf den gestohlenen Geräten ggf. Daten von Klienten, Kunden und Patienten sind, die nicht in fremde Hände gelangen sollten. Glücklicherweise ist in einem solchen Fall auch wiederum nur ein relativ kleiner Kreis von Personen betroffen. Wohl kaum ein Anwalt wird eine ähnlich große Zahl an Klienten aufweisen können, wie eBay und Co. Und auch mit den gestohlenen Daten kann nur ein sehr kleiner Kreis etwas anfangen. Wenn jedoch alle Komponenten zusammen finden, dann kann dies für den Einzelnen schon sehr empfindlich werden. Es lohnt sich hier immer wieder der Verweis auf die Steuerdaten-CDs, die von den Finanzbehörden immer wieder angekauft werden, bei denen es sich technisch betrachtet um eben solche Hehlerware handelt.

Im Netz ist dies gänzlich anders, denn hier wird kein Fernseher oder Laptop entwendet, sondern es geht ganz gezielt um Nutzerdaten. Und auch hierbei interessieren sich die Diebe entweder für Usernamen und Passwörter oder Zahlungsdaten, also Kreditkarteninformationen, Kontonummern, etc. Dabei ist ein erfolgreicher Einbruch bei eBay oder Amazon natürlich einem Lottogewinn gleichzusetzen. Aber auch zahlreiche kleinere Enbrüche auf unterschiedlichen Servern können eine stolze Summe an validen Daten erbringen – vermutlich sogar erheblich wertvollere Daten. Große Websites neigen dazu einen Einbruch professionell zu handhaben, also wie im aktuellen Fall bei eBay alle Nutzer zur Änderung ihrer Passworte aufzufordern und auf den Datenklau aufmerksam zu machen. Bei kleineren Anbietern fällt ein solcher Einbruch ggf. sogar nicht einmal auf.

Auch wenn der für die Käufer solcher Daten der Nutzen naheliegend sein sollte, lohnt sich ein genauerer Blick darauf: Zugangsdaten alleine sind nicht nur spannend für die Webseite, bei der sie gestohlen wurden. Im Falle von eBay waren sie kurze Zeit nach dem Einbruch schon nicht mehr nutzbar, da die Konten alle durch eBay gesperrt wurden und eine Passwortänderung zwingend wurde. Doch viele User nutzen die gleichen Zugangsdaten für unterschiedliche Websites. Und damit ist es dem Besitzer dieser Daten möglich auch z.B. bei Amazon und Co. einen Blick auf das Konto des Users zu werfen und dort weitere Informationen abzugreifen, oder gar einen unmittelbaren Schaden zu verursachen. Ggf. werden die Zugangsdaten auch bei Zahlungsdiensten wie PayPal verwendet. Auf diese Weise ist es im Übrigen auch nicht weiter kompliziert die Identität einer anderen Person vollständig zu übernehmen. Der daraus entstehende Schaden ist unbegrenzt.

Kreditkarteninformationen sprechen für sich schon Bände. Glücklicherweise wird bei vielen Kreditkartenfirmen ein finanzieller Schaden bei einem Datenklau kulant abgefangen, doch aus meiner Sicht ist dies nur noch eine Frage der Zeit. Und wie hoch der wirtschaftliche Schaden durch Missbrauch von Kreditkartendaten wirklich ist, ist ein gut gehütetes Geheimnis. Ein solches Sicherheitsnetz für den Betroffenen hat man bei anderen Zahlungsdiensten, z.B. bei PayPal oder klassischer Lastschrift nicht. Ist hier eine unbefugte Abbuchung erfolgt liegt die Beweislast beim Betroffenen.

Was also tun?

Die Maßnahmen, die zum Selbstschutz zu ergreifen sind, sind immer wieder die Gleichen. Die Haustüre Abschließen, möglichst sichere Fenster und Türen einbauen und einen aufmerksamen Nachbarn haben. Ähnlich ist es auch im Internet:

  • Verwenden sie möglichst lange Passwörter,
  • verwenden sie für jede Website andere Passwörter,
  • ändern sie die Passwörter regelmäßig (spätestens nach 6-12 Monate oder dem Bekanntwerden von Sicherheitsproblemen – selbst bei Gerüchten oder Vermutungen),
  • hinterlegen sie auf Websites nur die Daten, die wirklich nötig sind,
  • haben sie immer einen Blick auf Konto- und Kreditkartenabrechnungen

Truecrypt

Eine andere Meldung versetzte mir auch einen Schrecken während meines Urlaubs. Die Entwickler der beliebten Software zur Festplattenverschlüsselung warnen vor ihrer eigenen Software und empfehlen den Einsatz von Bitlocker. Diese Meldung war in mehrererlei hinsicht äußerst dubios. Auf der einen Seite wurde und wird TrueCrypt aktuell sehr genau auf Sicherheitslöcher hin überprüft, jedoch bislang noch keines gefunden. Außerdem wird diese Open Source Software immer wieder gerne gelobt, da hier keine bekannten Hintertürchen oder Kooperationen mit Geheimdiensten bekannt oder auch nur vermutet werden. Und nun wird auf ein Tool eines Herstellers verwiesen, der nachgewiesenermaßen mit der NSA eng zusammenarbeitet?

Der Verdacht wurde laut, dass den Entwicklern ähnlich dem Vorfall bei Lavabit durch amerikanische Regierungsbehörden die Daumenschauben angesetzt wurden. Damals musste der Betreiber von Lavabit der NSA quasi alle Zugangsmöglichkeiten geben und durfte hierüber nicht reden. Unterliegen die Entwickler von TrueCrypt nun einen ähnlichen Zwang und versuchen auf diese Weise die Nutzer der Software zu warnen?

Fest steht in jedem Fall, dass die Zeiten von TrueCrypt wohl beendet sind. Übereilte Handlungen sind nun allerdings nicht gefragt, denn die bereits installierte und im Einsatz befindliche Software ist wohl weiterhin als sicher und nicht kompromittiert zu betrachten. Glücklich der, der auch noch die Software hat, denn diese ist nicht mehr sinnvoll einsatzfähig zu erhalten.

Ich gehe davon aus, dass sich bald ein neues Tool finden wird, welches als Open Source Lösung eine sichere Festplattenverschlüsselung ermöglicht. Den Einsatz von Microsoft Bitlocker kann ich nur bedingt empfehlen, denn mit Bitlocker verschlüsselte Festplatten sind vermutlich vor dem Wald-und-Wiesen Gauner sicher, doch für die meisten Regierungsorganisationen kein Hinderungsgrund.

Schreibe einen Kommentar

Nutze dieses Kommentarfeld um deine Meinung oder Ergänzung zu diesem Beitrag kundzutun. Verhalte dich bitte respektvoll und höflich! Kommentare werden vor der Veröffentlichung in der Regel moderiert und bei Verstößen gegen geltendes Recht, die guten Sitten, fehlendem Bezug oder missbräuchlicher Verwendung nicht freigegeben oder gelöscht.
Über die Angabe deines Namens, deiner E-Mail Adresse und deiner Webseite freuen wir uns, doch diese Felder sind optional. Deine E-Mail Adresse wird dabei zu keinem Zeitpunkt veröffentlicht.

Um mit dem Betreiber dieser Seite nicht-öffentlich in Kontakt zu treten, nutze die Möglichkeiten im Impressum.