Immer wieder berichten Medien von gehackten Daten über natürliche Personen. Zuletzt gab es einen umfangreichen Medienbericht über 1,5 Milliarden persönliche Datensätze von Facebook, welche im Dark Web zum Erwerb angeboten wurden. Diese Daten wurden Angaben gemäß mit Hilfe einer Technik ermittelt, welche öffentlich zugängliche Informationen der Facebook-Nutzer einsammelt und mit Daten aus anderen Quellen kombiniert – so standen z.B. folgende Daten zum Verkauf: Name, E Mail Adresse, Telefonnummer, der Wohnort, das Geschlecht und die eindeutige Benutzer-ID.
Facebookdaten im Netz
Wie bereits beschrieben, konnten im vorliegenden Fall die Daten nur gesammelt und zum Verkauf angeboten werden, da diese vom Facebook-Nutzer selbst in den Datenschutzeinstellungen als öffentlich einsehbar eingestellt wurden. Hier gibt es einen einfachen Schutz gegen eine solche unrechtmäßige Datenerhebung, und zwar das eigene Profil als „nicht öffentlich“ zu kennzeichnen und nur den bestätigten Freunden sichtbar zu machen.
Zudem macht es auch Sinn, jegliche persönlichen Accounts mit einem Kennwort zu schützen. Auch wenn der Mensch ein Gewohnheitstier ist und er es sich daher am liebsten so einfach, wie möglich gestalten möchte, sollte man verhindern, für diese Accounts immer dasselbe Kennwort zu verwenden. Denn auch in einem solchen Fall macht man es Cyberkriminellen und Hackern einfach, an die persönlichen Daten zu gelangen. So wurde z.B. Anfang 2019 eine Liste mit 770 Millionen gehackten E-Mail-Accounts und 22 Millionen Passwörtern auf einer Cloud-Seite entdeckt.Ob man selbst bereits von einem Hack betroffen war oder ist, kann man z.B. unter https://haveibeenpwned.com/überprüfen.
Ob man selbst bereits von einem Hack betroffen war oder ist, kann man z.B. unter https://haveibeenpwned.com/überprüfen.
So können Sie sich schützen
Eine weitere Möglichkeit, herauszufinden, ob man bereits ausspioniert wurde, bietet die folgende Webseite des Hasso-Plattner-Instituts: https://sec.hpi.de/ilc/. Hier werden auch regelmäßig die am häufigsten verwendeten Passwörter veröffentlicht.
Bei der Auswahl eines Kennwortes sollten einige Kriterien berücksichtig werden. Achten Sie darauf, dass das Kennwort mindestens zwölf Zeichen umfasst und sowohl Groß-/Kleinbuchstaben, Zahlen als auch Sonderzeichen beinhaltet. Um ganz sicher zu gehen, sollten Sie Ihr Passwort regelmäßig ändern - wobei einmal jährlich ausreicht.
Man kann sich gut vorstellen, dass man schnell den Überblick verliert bei vielen, komplexen, unterschiedlichen Kennwörtern. Eine Möglichkeit, dies sicher und datenschutzkonform zu verwalten und gleichzeitig Datendieben einen Strich durch die Rechnung zu machen, ist die Verwendung von Passwort-Tresoren wie z.B. Keepass (https://keepass.info/). Dieses Programm generiert Ihnen bei Bedarf sichere und komplexe Kennwörter und verwaltet diese entsprechend auch für Sie. Dadurch reduziert sich das Kennwort, welches man im Kopf behalten muss, auf ein einziges.
Dieses Einmal-Passwort wird an den Nutzer meistens per SMS oder App geschickt. Es gibt aber auch separate Security-Token, das sind spezielle Geräte, um Einmal-Passwörter zu erzeugen. Sie haben im Vergleich zu Smartphones einige Vorteile. Unter anderem installiert der Nutzer auf Security-Token keine fremden Apps, die die Erlaubnis bekommen, z.B. SMS-Nachrichten zu lesen und diese dann missbrauchen könnten. Zudem brauchen Security-Token keine SIM-Karten, die Datendiebe „nachbestellen“ könnten. Desweiteren gibts es noch andere Tools und Produkte, mit der Sie ihre Passwörter schützen können.Eine Anleitung zur Nutzung von Keepass finden Sie hier.
Um zu vermeiden, dass jemand sich unberechtigt in ein Konto einwählt, setzen immer mehr Online-Dienste auf eine sogenannte Zwei-Faktor-Authentifizierung. Dabei reicht ein Passwort zur Anmeldung nicht aus. Es gibt einen zweiten Sicherheitsfaktor, der ebenfalls für die Anmeldung benötigt wird. Meist ist dies ein sogenanntes Einmal-Passwort.
Einfallstore für Cyberkriminelle
Gerade das Thema SMS hat in der jüngsten Vergangenheit häufig zu einem Einfallstor für Cyberkriminelle geführt. So wurden z.B. vermeintliche Kurznachrichten (SMS) von einem Versanddienstleister imitiert mit dem Hinweis "klicken Sie folgenden Link an zur Paketnachverfolgung" - sobald man auf diese SMS reingefallen ist und den Link entsprechend anwählte, wurde das Endgerät gehackt und die darauf befindlichen Daten kompromittiert.
Auch E-Mails werden des Öfteren als Einfallstor für Cyberkriminelle genutzt. Seien es Erpressermails, in denen behauptet wird, dass z.B. Webcams gehackt und Bilder entsprechend kompromittiert wurden oder klassische Phishing-Mails. Diese treten in letzter Zeit häufig in Form von Fake-Bewerbungen mit Word-Anhängen auf, in denen sich angeblich der Lebenslauf befinde, in Wahrheit jedoch die Schadsoftware. Gegen ein Lösegeld würden dann kompromittierte Daten/Geräte wieder freigegeben werden.
Die Möglichkeiten zur eigenen Datensicherheit sind vielfältig.Fazit
Im ersten Schritt ist es wichtig, aufmerksam zu sein und nicht auf vermeintlich einfache und „billige“ Tricks der Kriminellen reinzufallen. Zudem sollte man die Relevanz und Gefahr erkennen und lieber zu früh, als zu spät agieren, indem man umgehend im Verdachtsfall einer Kompromittierung neue Kennwörter für Internet-Anwendungen vergibt. Auch sollte man keine Nachrichten (egal ob SMS oder Mail) von unbekannten Absendern öffnen und sollte dies doch geschehen sein, dann auf keinen Fall einen Link anwählen oder ein Dokument öffnen. Im Zweifelsfall sollte unbedingt die IT-Abteilung eingeschaltet und betroffene Geräte überprüft werden.
Die obenstehenden Tricks sind lediglich eine Auswahl häufig vorkommender Cyber-Angriffe, es gibt leider noch weitere, diverse Schwachstellen, welche Cyberkriminelle ausnutzen können. Mehr über das Thema Informationssicherheit erfahren Sie im folgenden Blogartikel oder auf der Webseite des Bundesamtes für Sicherheit in der Informationstechnik (kurz: BSI) oder im Podcast des BSI.
Katrin Dahmen