Das Jahr 2019 hat gerade erst begonnen, doch gab es bereits Schlagzeilen über IT-Sicherheitsverletzungen, die enorm hohe Wellen schlugen: Collection#1 und wenig später Collection #2 bis #5. Diese zeigten erneut, wie sehr E-Mail im Visier von Hackern und Cyberkriminellen ist und welch hohe Bedeutung es hat, E-Mail-Sicherheit ernst zu nehmen, um sich und besonders seine Daten vor Angriffen wirksam zu schützen.

Was ist passiert?

Mitte Januar wurde in der breiten Öffentlichkeit bekannt, dass riesige Sammlungen von Zugangsdaten für E-Mail-Postfächer im Internet verfügbar waren. In den Collections #1 bis #5 sind insgesamt 2,1 Milliarden verschiedene E-Mail-Adressen und dazugehörige Passwörter enthalten. Mittlerweile sind die Sammlungen auch auf einer Sharing-Plattform frei für jedermann zugänglich.

Es wurden hierbei Informationen aus verschiedenen Hacks der Vergangenheit gesammelt und nach Kategorien geordnet, z.B. nach Daten aus Hacks von Cloud-Services, Karriereseiten, Online-Computerspielen, Shopping-Seiten, etc. Verfügbar waren die Daten also schon vorher im Internet – aber nicht derart gesammelt und so fein sortiert. Interessanterweise stammen die Daten aus Hacks von Firmen, nicht Privatleuten; somit trifft die Nutzer an der Verfügbarkeit der Daten im Internet keine Schuld. In welchem Ausmaß sich die Daten online verwerten lassen, darauf haben die Nutzer selbst durch ihr Verhalten – und Firmen durch gute Richtlinien – jedoch maßgeblich Einfluss.

Welche konkreten Gefahren gehen von den Hacks aus?

Von Collections #1 bis #5 geht eine große Gefahr bereits durch ihre ungeheure Datenmenge aus, schließlich handelt es sich um Milliarden von E-Mail-Postfächern und somit auch um extrem viele Betroffene

Im günstigsten Fall für die Betroffenen ist nur die E-Mail-Adresse bekannt, dann beschränkt sich das Ärgernis auf SPAM. Anders sieht es hingegen aus, wenn auch das dazugehörige Passwort bekannt ist. Sämtliche private Korrespondenz ist dann einsehbar und alle Daten, die in dem E-Mail-Postfach enthalten sind, können auch genutzt werden – zum Beispiel Hinweise über die Nutzung von weiteren Online-Diensten, wie für soziale Medien oder Shopping-Portale, welche zudem häufig die Möglichkeit bieten, dass Passwort zurückzusetzen.

Hier ist das Verhalten der Nutzer häufig der Grund für großes Gefahrenpotenzial: Häufig sind Passwörter nämlich nicht stark genug, sie werden selten (wenn überhaupt) geändert und sie werden auch für mehr als ein Benutzerkonto gebraucht. Dies hat zur Folge, dass mit dem Passwort eines gehackten Postfachs somit auch der Zugang zu anderen Accounts möglich sein kann. Hacker wissen um diesen Umstand und schlagen daraus gnadenlos Kapital. Vor allem dann, wenn in den Konten von Online-Diensten persönliche Informationen wie Kreditkartendaten hinterlegt sind, ist dies brandgefährlich. Hacker schrecken nicht vor Kreditkartenbetrug oder Erpressungsversuchen mithilfe der illegal erbeuteten persönlichen Daten zurück. Gefährdet sind durch diese Hacks also grundsätzlich alle Nutzer, die sich im Internet durch ihre E-Mail-Adresse identifizieren.

Wie kann man sich vor solchen Risiken schützen?

Die wichtigste Maßnahme ist die Wahl eines möglichst guten Passworts. Heutzutage geben die meisten guten Services Hinweise für die Benutzer über die Qualität des Passwortes, welches sie gerade erstellen. Hierbei gilt: je unwahrscheinlicher die Kombination der Zeichen und je länger das Passwort, desto sicherer ist es. Es ist ebenso wichtig, für jede Seite (bzw. für jeden Anbieter, bei dem man registriert ist) ein anderes Passwort zu wählen und dieses auch regelmäßig zu ändern. Da die Passwortverwaltung bei der hohen Anzahl der registrierten Benutzerkonten sehr schnell unübersichtlich werden kann, wird von Experten die Verwendung eines Passwort-Managers empfohlen – vorzugsweise von einem, der lokal auf dem eigenen Computer und nicht in der Cloud gespeichert ist. Ein weiterer Schutz ist es, zusätzlich zum Passwort auch einen weiteren Faktor hinzuzuziehen. Diese sogenannte 2-Faktor-Authentifizierung wird jedoch leider bei weitem nicht von allen Online-Diensten unterstützt. Eine neue Technologie entsteht gerade, die nach ihrer Aktivierung Transfers automatisch mit Einmal-Passwörtern sichert, worüber wir an späterer Stelle in diesem Blog zu sprechen kommen.

Was können Betroffene tun?

Wer den Verdacht hat, beispielsweise von Collection #1 bis #5 betroffen zu sein, kann dies im Internet auf der deutschen Seite des Hasso-Plattner-Instituts und der Seite von Troy Hunt überprüfen. Wessen E-Mail-Adresse tatsächlich in den Hacks enthalten ist, der sollte umgehend seine Passwörter ändern – und zwar bei allen Online-Diensten, bei denen er angemeldet ist. In manchen Fällen ist es auch anzuraten, eine neue E-Mail-Adresse anzulegen, um dem SPAM aus dem Wege zu gehen. Es ist dann nicht belanglos dies zu tun, sondern durchaus lohnenswert.

Wäre das mit Cryptshare auch passiert?

Anders als bei Ihren E-Mail-Benutzerkonten ist Cryptshare nicht zentral angreifbar. Die E-Mail-Adresse dient zur Verifizierung des Nutzers und zur erleichterten Kommunikation mit dem betreffenden Empfänger. Als Lösung für den einfachen und sicheren Austausch von Daten verwendet Cryptshare keine E-Mail-Konten. Daher besteht auch nicht die Gefahr, dass jemand in ein E-Mail-Postfach gelangt, in dem alle Informationen in lesbarer Form zusammengefasst sind, einfach indem er die E-Mail-Adresse kennt und das Passwort knackt. Die E-Mail-Adresse dient lediglich dazu festzustellen, ob ein Transfer lizenzrechtlich durchgeführt werden darf. Bei Cryptshare wird jeder Transfer einzeln verschlüsselt und kann separat mit einem Kennwort gesichert werden. Da dieses – wie grundsätzlich empfohlen – nicht per E-Mail an den Empfänger übermittelt wird, sondern auf einem gesonderten Wege mitgeteilt wurde (vorab zum Beispiel per Telefon oder SMS), ist dieses auch nur dem gewünschten Empfänger bekannt. Selbst wenn im schlimmsten Fall ein Hacker Zugriff auf den Cryptshare Server hätte, so wären alle sich darauf befindlichen Transfers einzeln verschlüsselt – und zwar ohne die dazugehörigen Passwörter.

Mit Cryptshare’s QUICK Technology, die im Frühjahr eingeführt wird, wird die sichere und einfache Passwort-Verwaltung revolutionieren: Einmal aktiviert, verschlüsselt QUICK Technology alle Kommunikation zwischen zwei Partnern, ohne dass diese jemals wieder Passwörter manuell austauschen müssen. Die Verschlüsselung und Entschlüsselung laufen dann im Hintergrund ab; nach der Aktivierung können die Nutzer sorgenfrei per E-Mail kommunizieren. Auf diese Weise eliminiert QUICK Technology die häufigsten menschlichen Fehler in der Passwortverwaltung, was ein entscheidender Faktor für die Vermeidung von Sicherheitslücken ist.  

Welche Schlüsse sind durch Collections #1 bis #5 zu ziehen?

Vorkommnisse wie Collection #1 bis #5 wird es auch in Zukunft geben. Zum einen ist es für Personen mit unlauteren Motiven möglich, immer größere Datenmengen zu verarbeiten, zum anderen werden Daten oftmals nicht gelöscht, sondern auch dann aufbewahrt, wenn sie nicht mehr aktiv genutzt werden. Das Konzept aus E-Mail-Postfach und dazugehörigem Passwort – mit der man Zugriff auf alle enthaltenen Daten und die gesamte Korrespondenz hat – sollte grundlegend überdacht werden. Die Vergangenheit hat zu oft gezeigt, wie verletzlich dieser Ansatz ist und wie leicht herkömmliche E-Mails und vor allem deren Inhalte missbraucht werden können, um an wertvolle Daten zu für illegale Zwecke zu gelangen. Umso wichtiger ist es heute, dass die Nutzer umdenken. Mit wenigen, einfachen Schritten können sie selbst erheblich dazu beitragen, sich wirksam vor solchen Sicherheitsverletzungen und deren Auswirkungen zu schützen.