Hackern die Stirn bieten

Der Diebstahl persönlicher Daten von Politikern, Prominenten und Journalisten zu Beginn des Jahres hat hohe Wellen geschlagen. Wir sprachen darüber mit dem Sicherheitsexperten Markus Schräder von CryptoMagic aus Augsburg.

epr: Wie konnte es zu dem Datenklau kommen? Gerade die Passwörter der betroffenen Personengruppen sollten doch besonders geschützt sein.

Markus Schräder: Die Ursache liegt höchstwahrscheinlich, wie so oft, in der Authentisierung, das heißt dem Identifikationsnachweis, über Passwörter. Dass Passwörter auch heute noch der Standard zur Authentisierung sind, liegt im fehlenden Risikobewusstsein, im Aufwand, in den Kosten und im fehlenden Komfort etablierter alternativer Sicherheitslösungen. Ein gutes Passwort ist nur solange gut geschützt, solange es Unberechtigten unbekannt ist. Je öfter es eingesetzt wird, desto größer ist das Risiko, dass es abgegriffen wird – das gilt auch für besondere Personengruppen.

epr: Wie denken und handeln die Web-User?

Markus Schräder: Wir erleben in den letzten Monaten verstärkt, dass die Sicherheit von Passwörtern fällt, wenn Anwender das gleiche Passwort an verschiedenen Stellen nutzen. Auch wenn man den Wunsch nachvollziehen kann, mit einem Passwort überall zugreifen zu können, so führt dies zu Sicherheitsproblemen. Denn wenn ein Benutzer das gleiche Passwort an mehreren Stellen verwendet, dann ermöglicht ein Abfluss desselben an der einen Stelle den Zugriff auch an allen anderen Stellen. Wenn ein abgegriffenes Passwort den Zugriff auf das E-Mail-Konto erlaubt, dann lassen sich unbekannte Passwörter vielfach einfach ändern.

Die alleinige Prüfung auf ausreichend komplexe Passwörter, die sich weitläufig durchgesetzt hat, hilft hier nicht weiter. Weitergehen Maßnahmen sind erforderlich. Diese müssen kostengünstig und ohne großen Aufwand für den Anwender sein, damit diese bezahlbar sind und von den Nutzern akzeptiert werden.

epr: Was raten Sie Internet-Usern? Mit welchen Lösungen können sich User gegen solche Attacken wehren?

Markus Schräder: Benutzen Sie einen Passwortsafe, der pro Dienst oder Webseite ein eigenes Passwort erstellt und dieses ausschließlich lokal speichert. Machen Sie hiervon regelmäßig Backups auf einem USB-Stick oder ähnlichem. Bevorzugen Sie Dienste, die bei der Authentisierung bereits heute weitere Faktoren neben dem Passwort unterstützen, am besten über kryptografische oder signaturbasierte Verfahren. Sofern Sie Passwörter nutzen, ändern Sie diese regelmäßig, damit ein möglicherweise erfolgtes Ausspähen nicht ewig funktioniert.

epr: Sie haben vor kurzem CryptoWeb auf den Markt gebracht. Worin unterscheidet sich die Lösung zu konventionellen Produkten?

Markus Schräder: Wir haben uns mit CryptoWeb darauf fokussiert, einen doppelten Boden in die Authentisierung auf Webseiten einzubauen – mit oder ohne Passwörter. Die Lösung ist möglichst einfach und weitestgehend ohne Aufwand für den Anwender gestaltet. CryptoWeb wird von aktuellen Browsern ohne Plugin oder Installation unterstützt, indem wir dessen eingebaute Fähigkeiten nutzen, mit X509-Zertifikaten und (Web-)Crypto umzugehen, ähnlich wie bei der Webseite der Steuersoftware Elster. Damit bringen wir die Hardware des Anwenders in Form seines Browsers oder U2F-Sticks als Faktoren der Authentisierung mit ein. In vielen Fällen erkennt unsere Software, wenn jemand ihr Passwort ausspioniert hat und erfolglos verwenden wollte, sodass frühzeitig Gegenmaßnahmen ergriffen werden können.

epr: Wie sieht es mit dem Restsicherheitsrisiko aus? Hätte der Hackerangriff mit CryptoWeb verhindert werden können?

Markus Schräder: Hacker, die Informationen aufgrund zu schwacher oder wiederverwendeter Passwörter erlangt haben, hätten auf diese einfache Art und Weise keinen Erfolg gehabt. Hardwareinformationen des Benutzers zu erlangen ist ein ungleich höheres Hindernis als ein abgefangenes Passwort. Es gibt derzeit keine Hinweise darauf, dass diese erlangt worden sind. Zudem hätten wir erfolglose Zugangsversuche erkennen und darauf reagieren können.

Ein Teil der Informationen war allerdings öffentlich zugänglich.

Dagegen hätten wir leider auch nicht helfen können.

epr: Wir danken Ihnen ganz herzlich für das Gespräch.