Datendiebstahl: Die Konsequenzen aus dem Cybervor-Hack

Nach dem gigantischen Datendiebstahl, den die US-Sicherheitsfirma Hold Security in dieser Woche aufgedeckt hat, sind zahlreiche Fragen offen. Für die meisten Internetnutzer drängt sich die Frage nach der Sicherheit der eigenen Daten auf. mehr...

Hacker, Tastatur, Maus Bildquelle: Davide Restivo / Flickr

Hacker, Tastatur, Maus Davide Restivo / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben

[o1] am ++4 --19

Die meissten nutzer sind zu dumm das zu kapieren. Solange die Meissten leichte Kennwörter nehmen, zB den Namen des Hundes, und das dann nur alle 11 Jahre ändern weil Bello gestorben ist, ist jeder Belehrungsversuch rausgeworfene Zeit. Kennwörter ändert man alle 2-3 Monate, dann ist man bei den meissten Diebstählen schonmal sicher.

[re:1] am ++14 --1

@Butterbrot: Das ist so ein Bockmist, den du da erzählst. Was hilft ein sicheres Passwort, wenn es dann doch geklaut wird???

Bearbeitet am 10.08.14 um 17:55 Uhr.

[re:2] am ++7 --1

@Butterbrot: Du hast den Artikel entweder nicht gelesen oder einfach nicht verstanden! Was hat das damit zu tun das man leichte oder kurze Passwörter verwendet? Du kannst ein Password mit 100 Zeichen und Buchstaben benutzt haben aber wenn die Hacker im Besitz deines Accounts und des Passwortes sind, ist es scheiss egal wie lang oder kurz!

[re:3] am ++3 --

@Butterbrot: Die Schwachstelle ist nicht das Passwort. Es ist wahrscheinlich das System auf dem dieses gespeichert war. Man kann jetzt zwar das überall das Passwort ändern. Aber so lange nix über das Kompromittierte System und die ausgenutzte Schwachstelle bekannt ist, hindert es die Diebe ja nicht daran, es nochmals zu stehlen.

[re:4] am ++--1

@Butterbrot: klar hatter unrecht, gelacht hab ich trotzdem!

[o2] am ++1 --7

Das handeln dieser Sicherheitsfirma mit gestohlenen Daten sollte, meiner Meinung nach, verboten werden!

[o3] am ++2 --

Ich weiß nicht ob nur Verschlüsslung ausreichend ist, hier wurde mal über einen Ansatz berichtet einen Angreifer Falsche Datenbanken (verschlüsselt) unterzuschieben, das wäre ein Anti-Hacker-Trojanisches-Pferd.
Jeder Angreifer währe nach einen gewissen Aufwand erfolgreich könnte aber mit der "Beute" überhaupt nichts anfangen, da frei erfunden und noch verschlüssel.
Was dann auch mit der Zeit den Ansatz zur Motivation vereiteln könnte?

[re:1] am ++1 --

@Kribs: wars nicht Keepass das bei jedem Passwort egal ob Richtig oder Falsch den Zugang erlaubt, dann aber zufällig generierte Daten anzeigt anstatt der richtigen

[re:1] am ++1 --

@Wumps: Kann ich dir nicht sagen, aber gut möglich das es dort sowas gibt, mir ist in Erinnerung geblieben das Fake-Datenbanken erstellt werden auf die ein Angreifer zuerst zugriff erlangt, nach dem Er einen gewissen Aufwand betrieben hat, anders gesagt ist ein Angreifer Energisch genug hat er immer Erfolg nur die "falsche" Datenbank?

[re:2] am ++1 --

@Wumps: Nein, bei KeePass wird angezeigt, dass das Passwort falsch ist. Ich weiß aber nicht, ob es vielleicht ein Passwort dafür gibt.

[re:3] am ++1 --

@Wumps: nein keepass war das nicht, es waren allgemein webseiten die das machen. so kann der angreifer nicht unterscheiden was richtig oder falsch ist weil er immer als antwort "passwort richtig" bekommt. da kommen dann zufallsdaten die falsch sind.

[re:2] am ++--

@Kribs: Das war ein genereller neuer Ansatz von Verschluesselung die dem Angreifer vorgaukelt der benutzte Schluessel sei der korrekte gewesen. Somit muesste er nach dem entschluesseln erst die Daten irgendwie verifizieren

[o4] am ++1 --11

Mir persönlich ist es ehrlich gesagt ziemlich egal, ob jemand irgendwelche Login-Daten von mir ausspioniert hat. Ich lege sämtliche Accounts im Internet schon seit über 10 Jahren über Anon-Proxys und denen nachgeschaltete Anonymisierungsnetzwerke an. Meinen eigenen Namen oder sonstige persönlichen Daten habe ich noch nie in einen Rechner eingetippt, der Kontakt zum Internet gehabt oder später bekommen hätte. Daher besitze ich nur Fake-Accounts im Netz, die nicht auf meine Identität verweisen.

Da ich Emails ohnehin nur PGP-verschlüsselt akzeptiere und unverschlüsselte gleich vom Spamfilter auf den diversen Email-Adressen, die ich bei verschiedenen Anbietern eingerichtet habe (für jeden Bekannten eine eigene Email-Adresse, damit kein Bekanntenkreis rekonstruiert werden kann, wenn meine Bekannten beim Datenschutz Fehler machen) abgefangen und geloescht werden, können mit meinen Zugangsdaten ausgerüstete Kriminelle bei mir maximal Emails (oder meinetwegen auch den ganzen Account) löschen oder mit meinen Accounts Spammmails versenden, die natürlich nicht verschlüsselt sind und daher von meinen Bekannten direkt als Spam angesehen und entsorgt werden.

Da das heutige Szenario dank unzähliger Pressemeldungen über geklaute und zu Werbezwecken missbrauchte Kundendatenbanken schon am Anfang des letzten Jahrzehnts abzusehen war, war es eigentlich kein Problem darauf zu kommen, dass man sich im Internet besser keine zu einem zurückverfolgbare Accounts anlegen sollte. Wer das trotzdem getan hat, bekommt irgendwann die Rechnung. Das war/ist nur eine Frage der Zeit.

[re:1] am ++11 --1

@nOOwin: na du bist ja einer,.. hab auch von Menschen gehört die im Wald leben.. dass du dich traust hier zu schreiben... hast du keine angst, dass man dich klaut? ^^

Bearbeitet am 10.08.14 um 19:15 Uhr.

[re:2] am ++1 --

@nOOwin: im Netz kennt auch niemand meinen Namen, das kannst Du aber den Kindern nicht erklären.

[re:3] am ++3 --1

@nOOwin: leidest du irgendwie an verfolgungswahn oder so? Du hast also noch nie irgendwo deine echten Daten angegeben? Also hast du auch noch nie bei Amazon oder so bestellt? Für jeden bekannten ne eigene Email Adresse ist auch zu viel des guten. Aber naja, leb du mal weiter in deiner "sicheren" Welt ;)

[re:1] am ++4 --1

@rhilor: Das macht er über Bekannte und eine Briefkastenfirma im Ausland :D Er hockt doch grade in seinem Strandhaus und knallt Piraten ab :D

[re:2] am ++--1

@rhilor: Leute, die an Verfolgungswahn leiden, fühlen sich verfolgt. Ich fühle mich hingegen nicht verfolgt und sorge dafür, dass dies so bleibt. Das ist ein ganz entscheidender Unterschied, da Leute die sich nicht verfolgt fühlen nicht an Verfolgungswahn leiden können.

Im übrigen brauchen sich die Internetnutzer, welche mit persönlichen Daten auf dem Rechner im Internet surfen, dort persönliche Daten eintippen oder solche Daten auf ihrem SmartPhone speichern, auch nicht verfolgt zu fühlen. Leute die schon in der Falle sitzen bevor sie etwas davon bemerken, braucht man nämlich nicht zu verfolgen. Bei Handybesitzern weiss man immer wo sie sind und braucht daher nur zugreifen, wenn es gerade passt. Eine Verfolgung ist unnötig, wenn das Opfer einem seinen Aufenthaltsort ständig selber mitteilt. Insofern sind Mobiltelefonbesitzer die unter Verfolgungswahn leiden ein Paradoxon. ;-)

Und nein, ich habe noch nirgendwo im Internet meine echten Daten angegeben. Ich habe genug Bekannte, die mir einen Gefallen schulden und happy sind, wenn sie mir bei eBay, Amazon oder sonstwo mal etwas ersteigern/mitbestellen können. Aber ehrlich gesagt kommt das selten vor. Ich bezahle eine Ware normalerweise einfach bar und somit anonym im Laden. Ich wüsste nicht, wieso ich etwas im Internet kaufen und dort mühsam bestellen und bezahlen, dabei meine persönlichen Daten einem Händler geben und dann auch noch auf die Lieferung der Ware warten sollte, wenn ich dieselbe Ware einfach in der nächsten grösseren Stadt direkt kaufen und sofort mitnehmen kann. Im Internet kaufen macht daher für mich keinen grossen Sinn, es sei denn, ein lokaler Händler kommt mal wirklich nicht an eine Ware die man im Internet aber bestellen könnte. Aber das kommt fast nie vor.

Bearbeitet am 13.08.14 um 01:55 Uhr.

[re:4] am ++--

@nOOwin: Köstlich! Auch wenn ich dir das alles nicht die Bohne abnehme, muss ich bei deinen Beiträgen trotzdem immer irgendwie an Lindenberg/Schneider mit "Chubby Checker" denken, also so nen Typen mit Trenchcoat und Schlapphut, der sich ganz "unauffällig" durch die Welt bewegt - und sich natürlich komplett zum Affen macht. Aber ich hatte definitiv mal wieder was zum Schmunzeln, danke dafür!

[re:5] am ++1 --

@nOOwin: Wahrscheinlich hast du auch beim Einwohnermeldeamt eine falsche Adresse angegeben, weil der ja auch vernetzt ist und auf deinem Ausweis steht, das du im Takatuka-Land wohnst. Deswegen hast du bestimmt auch deinen Internetanschluss von deinem Provider an einer anderen Adresse mit anderen Namen legen lassen. Du bist ja ein Filou. Hast die alle ganz schön ausgetrickst.

[re:1] am ++--1

@eMaile: Ich bin seit Jahren kein deutscher Staatsbürger mehr und mein Haus in Deutschland ist von mir über eine Firma gekauft worden (Firmen können als juristische Personen in Deutschland völlig legal Gebäude erwerben), die von einem Teil der von mir an sie überwiesenen Summe auch die laufenden Kosten (wie z.B. den auch den Internetanschluss), Grundsteuer etc. bezahlt. Somit bin ich offiziell nur Gast dieser Firma, wenn ich in Deutschland lebe und habe mit dem Einwohnermeldeamt eher weniger zu schaffen. Mein Vertrag mit dieser Firma befindet sich im aussereuropäischen Ausland, wo deutsche und Behörden der meisten anderen Länder dieser Erde keine Einsicht nehmen können. Dazu verwaltet diese Firma die Daten auf vollverschlüsselten Servern ohne Internetanbindung. Jegliches Personal (vom Admin bis zur Reinigungskraft) in deren Rechenzentrum wird videoüberwacht und deren Tätigkeiten und Aufenthaltszeiten mitgeloggt, so dass da niemand so einfach Daten auf USB-Sticks, Speicherkarten oder per Handy/WLAN herausschmuggeln kann. Damit ist meine Identität nicht mit meinem Haus und genausowenig mit meinem Internetanschluss verknüpft.

Wie Du siehst, habe ich meine Hausaufgaben vor Jahren gemacht. Ich bin Leuten die mich austricksen wollen gerne ein paar Schritte voraus und brauche mir daher heute auch keine Gedanken über irgendwelche möglicherweise korrumpierten Passworte zu machen oder mich zu fragen wann jemand die Geheimnisse, die ich meinem Emails/meinem Computer/meinem SmartPhone (Nicht das ich persönlich ein SmartPhone hätte. Auf solche Ortungswanzen bin ich schon vor über 15 Jahren nicht hereingefallen.) anvertraut habe, gegen mich verwendet.

Schon heute bekommen Leute keinen Kredit oder als Bewerber einen Job nicht, weil sie den falschen Freundeskreis bei Facebook haben. Andere bekommen ein Einreiseverbot in die USA ausgesprochen, weil sie Unsinn getwittert haben (Das ist vor einiger Zeit z.B. einem britischen Staatsbürger passiert, der in den USA Urlaub machen wollte.).

Durch die "Verfügbarmachung" ihrer Daten für Dritte bauen sich die meisten Leute seit Jahren ihr eigenes Gefängnis in dem sie in Zukunft leben müssen. Denn Daten über die man einmal die Kontrolle verloren hat, kriegt man nicht mehr unter Kontrolle. Im Datenschutz bekommt man keine 2. Chance das Spiel zu gewinnen. Man macht entweder von Anfang an alles richtig (was durchaus unbequem und mit viel Lernaufwand und Denkarbeit verbunden ist und eine Resistenz gegen Leute, die einen als paranoid bezeichnen und genüsslich alle Fehler machen die man selbst vermeidet, vorraussetzt) oder man hat das Spiel schon verloren. Das lernen schon heute eine ganze Menge Leute "the hard way" und diese Menge Leute wird in den nächsten Jahren ständig wachsen.

Insofern habe ich niemanden ausgetrickst. Ich habe mich lediglich nicht von anderen austricksen lassen, wie viele andere Internet- und Mobiltelefonnutzer. Ich habe in den letzten 15 Jahren zig Leute in meinem Bekanntenkreis gewarnt. Wenn die aus Bequemlichkeit und fehlender Weitsicht lieber tun, was alle anderen machen, nur um bloss nicht in die Verlegenheit zu kommen über ihren Umgang mit ihren Daten selber nachdenken zu müssen, ist es nicht mein Fehler, wenn die heute mit allen anderen zusammen ein Problem haben. Das eigene Leben ist halt das Resultat der eigenen Entscheidungen. Wer ständige durch die Presse gehende Datenschutzpannen über ein Jahrzehnt lang leugnet und erst einen Edward Snowden braucht um aus seiner Traumwelt aufzuwachen und selbst dann noch keine Konsequenzen zieht, sondern auf die Politik hofft, die selber keinen Plan hat, wie man an Gesetzen zur Linkhaftung und Störerhaftung in Deutschland sieht, dem ist nicht mehr zu helfen und der muss halt mit der Realität und dem Überwachungsstaat leben, die er durch seine Gedankenlosigkeit erst ermöglicht hat.

[o5] am ++--1

Was regt ihr euch eigentlich auf, das sind doch Anfänger... Als wenn jeder Nutzer nur einen Account hätte (und damit einen Datensatz), das sind ein paar Millarden, die da rumwandern. Und 500000 Mailadressen - was will man damit außer die Spamfilter zu testen ^^
Es gibt Profis, die das besser können und einfach das GANZE Internet abgreifen. Wen ich meine, dürft ihr euch denken.

Mal Klartext: Nach den Ereignissen des letzen Jahres, dem NSA-Vertuschungsausschuss des Bundestages etc. ist das hier nun nicht gerade unser größtes Problem

[re:1] am ++1 --

@FensterPinguin: das sind bestimmt Sammlungen die gemacht wurden bevor heartbleed bekannt wurde. Nur Damit lässt sich es sich aktuell für mich erklären, wie solche Summen an Nutzerdaten zustande kommen. Würd mich auch nicht wundern wenn solche Mengen an Nutzerdaten in geheimen Kreisen bereits exestierten und vllt. sogar von dort aus einfach nur "ein Paar abhanden" kamen, à la Snowden Nachahmer.

Bearbeitet am 10.08.14 um 19:38 Uhr.

[o6] am ++1 --1

So viele Daten auf einmal geklaut... hmm. Es kann also entweder nur ein großer Hoster gewesen sein, wobei da die Anzahl der e-Mail-Adressen mir zu klein scheint. Oder z.B. die Chrome-Server, die ja die ganzen Formulardaten inklusive Passwörter usw. speichern um sie auch auf einem anderen PC im Browser zur Verfügung zu haben. Da hätten die Hacker tatsächlich eine so große Anzahl an Accountdaten klauen können. Ich weiß zwar nicht, wie "sicher" das bei Google ist, aber denkbar wäre das.

[o7] am ++3 --

Wenn die Online Anbieter keine Strafe zu fürchten haben so ist es denen eher gleichgültig.

[o8] am ++1 --2

sich dewswegen jetzt verrückt zu machen ist sinnlos. bei seiten wie facebook etc ändern ich wegen sowas sicher nicht das PW nur seiten wo ich zahlungsmöglichkeiten habe ohne erneute bestätigung eines weiteren passwortes. und selbst dafür ist bei solch einer menge log daten die warscheinlichkeit sehr gering das es mich trifft. ;) bis zum 0 aufm konto is eh nich weit also was solls XD

[o9] am ++--

So ein bisschen unklar ist mir, wie sie bei der Vielzahl an geknackten Domains an brauchbare Passwörter im Klartext gekommen sind... normalerweise werden lediglich Hashes in den Benutzerdatenbanken hinterlegt. Effektiv hätten sie die Kommunikation zwischen den Clients und den Servern der jeweiligen Domains belauschen müssen (und zwar ebenfalls wieder ggf. entschlüsselt)...

[10] am ++--1

Wer greift denn heute noch WEB-Sites ab?
Geht viel einfacher. z.B. Telekom und ihre Speedport-Router.
Da haben die doch tatsächlich eine art Superpin mit der man jeden Telekomrouter "öffnen" kann. Sowohl über LAN als auch WLAN. Schwuppdiwupp bist du im Heimnetzwerk des Users und kannst dich nach Lust und Laune austoben.
Und zu finden sind die Router auch ganz leicht. Da die Telekom als Firma einen eigenen festgelegten TCP/Ip-Bereich hat kann man gezielt nur nach Telekom-Kunden suchen.
Monatelang ist diese Lücke offen und nur durch Zufall von einem User entdeckt worden.
Ist mittlerweile das zweite mal dass die Telekom da betroffen ist.
Schon toll wenn Firmen und Hersteller Geräte verwenden die alle mit einem Masterpin versehen sind.
http://www.fr-online.de/digital/telekom-stopft-offene-hintertuer-in-wlan-router,27395004,15000418.html

Trifft aber auch andere Provider.
So ganz nebenbei: Alle Router die eine WPS-Funktion im Chip integriert haben sind nicht sicher - auch wenn WPS deaktiviert ist.