News / Medien

In unserer täglichen Arbeit sehen wir viele Konstrukte, die entweder bereits vorhanden sind oder sich durch komplexe Fragestellungen bei unseren Mandanten erst ergeben oder die Thema in unserer Verbands- und Zusammenarbeit mit den Aufsichtsbehörden sind.

Wir wollen Sie an unseren Erfahrungen teilhaben lassen und veröffentlichen hier in regelmäßigen Abständen entweder auf unserem YouTube Kanal oder in Presseberichten Neuigkeiten, Tipps und Tricks aus Datenschutz, Informationssicherheit, Cybercrime und Datenrettung.

Presse- und Medienanfragen nehmen wir natürlich gern entgegen unter presse@datenschutzklinik.de oder 0761 - 76 99 25 50.




Der YouTube Kanal der datenschutzklinik


Datenschutz im Homeoffice zu Zeiten von Corona


Pressetexte & Publikationen


Zurück zur Übersicht

24.02.2019

Schwachstelle Mensch: Unbekümmertheit macht es Dieben im Netz zu einfach

Erschienen im Chilli Magazin Freiburg, 24.02.2019

Im Januar sind Milliarden Nutzerdaten samt Passwörtern im Netz gelandet. Das Erschreckende: Täter wie der 20-jährige „Orbit“ aus Hessen stellen Politik und Prominenz bloß. Sie sind aber oft keine genialen Computerfreaks, meinen der Datenschutzexperte Sebastian Koye und Mitglieder des Chaos Computer Club Freiburg. Ein Profi-Hacker betont: Passwörter gehören abgeschafft.

„Richtiges Hacking ist schwer und sehr aufwendig“, sagt Sebastian Koye, Geschäftsführer der Freiburger Datenschutzklinik für Datensicherheit und Cybercrime Abwehr. Mit genügend krimineller Energie könne man aber schnell ein fehlendes IT-Studium wettmachen: „Im Darknet gibt es für 19 Dollar Tools zum Suchen und Knacken von schwachen Netzwerken.“ Besondere Fähigkeiten brauche man dafür nicht.

„Daten sind aktuell die höchste Währung“, sagt der 48-Jährige. Das ist neuzeitlichen Goldgräbern nicht verborgen geblieben. Seit Mitte der 90er gibt es professionelle Cyberkriminalität. „Heute ist das eine milliardenschwere Industrie“, sagt Koye. Allein in Deutschland entstand 2017 mit virtuellen Daten ein realer Schaden von mehr als 71 Millionen Euro. 250.000 Fälle mit der Tatwaffe Internet zählte das Bundeskriminalamt allein in Deutschland im selben Jahr. Zum Vergleich: Delikte wegen Cannabis wurden 204.000 Mal gezählt.

„Im Darknet floriert ein riesiger Markt für ganze Pakete mit Nutzernamen und den dazu passenden Passwörtern“, sagt der Experte. 100 Logins gibt es dort bereits für 40 Cent. Und die Größe der Pakete ist nach oben offen. Ursache sind die betroffenen Benutzer oft selbst: „Das größte Problem ist die Einfachheit der Passwörter aus Gründen der Bequemlichkeit, da muss sich jeder an die eigene Nase packen“, sagt Koye.

Um Feuer hinter der Firewall zu legen, braucht es nicht viel. „Brute-Force-Programme werden mit Wortlisten bestückt, die dann in kürzester Zeit tausende von Nutzername/Passwort Kombinationen durchrattern, bis die richtige gefunden wurde.“ Laut dem Hasso-Plattner-Institut war 2017 die Kombination „123456“ Deutschlands beliebtestes Passwort. Maschinen knacken diese in einer Millisekunde. Es gibt sogar Passwort-Trends: In den 90er-Jahren stand oft nur ‚Schalke04’ als Passwort zwischen Benutzer und Angreifer. Für den Fußballverein braucht ein Programm zum Knacken übrigens vier Tage – die meiste Zeit davon für das Anhängsel ‚04’.

Orbit war wie ein „Eichhörnchen“

Nutzer werden regelrecht gekapert und aus ihrem eigenen System ausgesperrt. Die Schadsoftware wird über den nun vertrauenswürdigen E-Mail Account an das Adressbuch weitergeschickt. Oft fängt die Erpressung bei Forderungen von einem Bitcoin an, der aktuell einen Wert von 3600 Euro hat. Koye, der auch bei der Kriminalpolizei gearbeitet hat, kennt Forderungen über 100 Bitcoins. „Diese Zahlungen sind praktisch nicht nachverfolgbar.“ Selbst wenn man die IP-Adresse des Schuldigen herausfände, komme man nicht weit. „Das sind Profis, die wissen, wie sie ihre Spuren verschleiern. Die IP-Adresse ist dann nicht einmal echt“, sagt Koye.

Neben einfachen Passwörtern wurmt den Experten die Unbekümmertheit im Netz: „Die Leute sind mit ihren Daten nicht sensibel“, sagt er. Beispiel Urlaubsfotos. „Je mehr Daten ich sammeln kann, desto besser kann ich eine Phishing-Mail fabrizieren.“ Mit zusammengeklaubten Infos seien die Mails individuell aufs Opfer zugeschnitten. „Wenn in der Nachricht mein Spitzname auftaucht und auch z.B. eine Anspielung auf meinen letzten Urlaub, klicke ich gefährliche Links darin viel eher.“

Beim Chaos Computer Club Freiburg ist der Name Programm. In einer großen Sitzecke wird gefachsimpelt, auf fast jedem Schoß liegt ein Laptop. In Regalen stapelt sich Technik, auf einem Tisch steht ein ausgeschlachteter Computer, von der Decke hängt ein dickes Kabel. Nicht alles erkennt man als Laie wieder. „Wir haben Spaß daran, Dinge zweckzuentfremden“, sagt jemand im schwarzen Pulli. Seine Identität möchte er nicht preisgeben. Daten fangen bereits beim Namen an.

Auch hier glaubt man nicht an das Computergenie „Orbit“ aus Mittelhessen. „Das war kein Hacker. Das war einer, der wie ein Eichhörnchen Nüsse gesammelt hat“, sagt SMTW, Mitglied des Clubs. Doxing heißt das. Er schätzt, dass bei den 1000 Betroffenen bloß 950 Mal Recherchearbeit geleistet wurde. „Oft ist es ein Mix aus Userversagen und Providerschwäche. Wenn ich mit meinem Geburtsort mein Passwort resetten kann, ist das viel zu leicht rauszukriegen“, erklärt Götz neben ihm.

Seinen Club-Kollegen SMTW knackt so schnell keiner: „Ich habe nur ein Passwort für ein Key-Manager-Programm und das ist 40 Zeichen lang.“ Auch durch veraltete Software machen sich viele Surfer zur Zielscheibe. „Niemand kauft ein Auto mit abgelaufenem TÜV, aber bei einem alten Router schlagen die Leute zu“, sagt der vermeintlich 42-Jährige Götz.

Datensammlerei und Doxing werden definitiv noch zunehmen, glaubt SMTW. Auch Fuzzle vom CCC warnt vor der aktuellen Entwicklung: „Alles wird immer vernetzter, man kann beispielsweise am Bahnhof ein Fahrrad mit Facebook leihen.“ Deswegen ging der hackende Schüler „Orbit“ auch ins Netz der Behörden: Der Täter meldete sich in einem Chat über eine verfolgbare Telefonnummer an. Das Mitleid bei den drei CCC-Mitgliedern hält sich in Grenzen: „Es gibt die erfolgreichen ‚Hacker’ – und es gibt die bekannten.“

Einer der weniger bekannten ist Leopold Schabel. Der 24-Jährige Freiburger hat einst selbst mit einem alten Laptop angefangen. Mittlerweile verdient er seine Brötchen mit der Entwicklung von Sicherheitssoftware. Für Firmen simuliert er digitale Angriffe und zeigt, wo sie nachbessern müssen. In diesen Tagen macht er sich als nexantic GmbH in Berlin selbstständig. „Die Branche boomt, es gibt viel zu tun“, sagt Schabel. Ihn stört, dass oft Symptombekämpfung betrieben werde, statt das Problem bei der Wurzel zu packen.

„Passwörter gehören abgeschafft“, fordert der IT-Experte. Eine flächendeckende Zwei-Faktor-Authentifizierung sei überfällig. Also ein System mit zweiter Zugangsberechtigung, beispielsweise ein Code, der aufs Handy geschickt wird. Schabel fordert die Politik auf, höhere Standards zu schaffen. Lediglich den Usern die Schuld in die Schuhe zu schieben, greife zu kurz.

Für ihn sollte man Hackern wie „Orbit“ dankbar sein. Schließlich helfen sie mit ihren Angriffen, die Debatte ins Rollen zu bringen. „Die Gesellschaft profitiert von ihnen.“ Jetzt müsse das Problem endlich aktiv angegangen werden. Lohnen würde sich das in jedem Fall, findet Schabel. Denn Schäden nach Hackerangriffen seien meist teurer als gedacht. Bessere Sicherheitsstandards dafür günstiger als angenommen.
[https://www.chilli-freiburg.de/stadtgeplauder/szene/schwachstelle-mensch-unbekuemmertheit-macht-es-dieben-im-netz-zu-einfach]



Zurück zur Übersicht



 
 
 
 
E-Mail
Anruf
Infos
Instagram