Kreditkartennummer, Gehalt und interne Berichte: An sensible Daten zu kommen, fällt Hackern immer leichter. Wie ein gutes Passwort aussehen sollte.
Ein E-Mail-Konto zu knacken, ist für einen ambitionierten Hacker kein Problem. Zum wiederholten Mal war bereits der Mikro-Blogging-Dienst Twitter Ziel der Angriffe. Bei einem kam der Hacker an das Passwort für die E-Mail eines Mitarbeiters - entweder weil er es ermitteln konnte oder weil er eine sogenannte Sicherheitsfrage richtig beantwortete.
Bild vergrößern
Bei einer Attacke erfuhr ein Hacker, wieviel Gehalt Twitter-Angestellte bekommen und mit welchem Wachstum die Firmenleitung rechnet. (© Foto: AP)
Anzeige
Von da an war es nicht mehr weit bis zu vertraulichen Unterlagen der Twitter-Dienste. Dazu gehörten unter anderem Informationen über Wachstums-erwartungen der Firmenleitung, Gehälter der Beschäftigten, Kreditkartennummern, Einschätzungen über Bewerber und Berichte von internen Besprechungen. Einige Daten wurden im Netz verbreitet.
Wie Twitter-Mitgründer Biz Stone in einem Blog-Eintrag schrieb, bekam der Hacker über das Passwort für den Goggle-Mail-Account des Mitarbeiters auch automatisch Zugriff auf dessen Google-Apps-Account.
Zugriff auf Amazon- und PayPal-Konten
Zudem sei zur gleichen Zeit auch die private Mail-Adresse der Frau von Twitter-Mitbegründer Evan Williams gehackt worden, schrieb Stone. Darüber habe der Angreifer Zugriff auf Williams' Amazon- und PayPal-Konten erhalten. Diese Angriffe, erklärte Stone, zeigten, dass "Twitter inzwischen so sehr im Rampenlicht steht, dass die Menschen, die hier arbeiten, zu Zielen werden".
Die Vorfälle zeigen, welche möglichen Gefahren mit dem Trend verbunden sind, immer mehr persönliche Daten online zu speichern und zu verwalten. Ein Fehler, der dem Mitarbeiter einer Firma im privaten Bereich unterläuft, kann dazu führen, dass dem Unternehmen großer Schaden entsteht. Dafür reicht bereits das Passwort eines E-Mail-Kontos.
Die Angriffe auf Twitter beweisen, dass die alten Hacker-Techniken nicht aus der Mode gekommen sind. Mit dem Boom der sozialen Netzwerke erleben sie eine neue Blüte. Statt des Angriffs auf einen Web-Server genügt bereits ein schwaches Passwort für einen E-Mail-Account, um an vertrauliche Daten zu gelangen. Auch die Sicherheitsfragen kann man mit einigen Kenntnissen über die Zielperson richtig beantworten.
Sicherheitsfragen richtig beantworten
Das musste 2008 auch die damalige US- Vizepräsidentschaftskandidatin Sarah Palin erfahren, deren E-Mail-Konto geknackt wurde, indem der Hacker die Sicherheitsfragen richtig beantwortete. Die Antworten bezogen sich auf ihr Leben und ihre Familie. Zu finden waren sie im Internet.
Programme zum Ermitteln von Passwörtern gehören schon lange zum Hacker-Inventar. Im Januar wurde damit der E-Mail-Account eines anderen Twitter-Mitarbeiters gehackt.
Anfällig sind alle Mail-Konten, deren Passwort einen gängigen Wörterbuch-Begriff enthält. Für Hacker werden diese Techniken auch dadurch interessanter, weil immer mehr Websites wie Facebook es ihren Mitgliedern erlauben, sich mit ihrem Nutzernamen und Passwort auch bei anderen Diensten einzuloggen - sehr praktisch für Hacker.
Deshalb gilt nicht nur für Twitter-Mitarbeiter: Im Web 2.0 muss unbedingt ein starkes Passwort benutzt werden, das aus einer Kombination von Buchstaben, Zahlen und Sonderzeichen besteht.
Surfrider Beach in Malibu
- Hacker Für die gute Sache 16.08.2009
- Kurznachrichtendienst Twitter im Visier von Hackern 07.08.2009
- Microsoft Cyber-Attacke auf Office 15.07.2009
- Datenpanne bei Twitter Gehackt und beklaut 16.07.2009
- Computer Der Robin Hood der Hacker 07.07.2009
- Hacker sorgte für Transparenz Lettlands Robin Hood ist enttarnt 17.05.2010
- Zehn Jahre "I love you"-Wurm Liebesvirus mit fatalen Folgen 04.05.2010
(AP/cf)
"Deshalb gilt nicht nur für Twitter-Mitarbeiter: Im Web 2.0 muss unbedingt ein starkes Passwort benutzt werden, das aus einer Kombination von Buchstaben, Zahlen und Sonderzeichen besteht."
___________________
Ein Witz ! Bei Verwendung von Zahlen und Sonderzeichen wird nichts sicherer - der Hack dauert nur länger.
Ist dieser nicht gut geschützt liegt alles offen, da es bei den meisten Diensten möglich ist sich ein neues password an die mail Adresse schicken zu lassen, es soll schließlich schnell und billig gehen, Sicherheit würde nur kosten und nerven. Dies mag für sz-Kommentar accounts noch vertretbar sein, für accounts hinter denen Geldbewegungen stecken können eher untragbar.
Bei ebay und paypal accounts hilft z.B. ein passwordgenerator, ohne den man auch mit dem festen evtl. geknackten password wenig anfangen kann. Ansonsten keine vermischung von Firmen mit privater mail und im Bereich privater mail am besten auch mehrere mail accounts die für die unterschiedlich wichtigen Dinge verwendet werden.
Vieles des im Artikel genannten sind Bisenweisheiten, die aber auch erst einmal von allen befolgt sein wollen.
und die ältesten Lücken. Die weit größte Lücke ist immer der, der vor dem Rechner sitzt. Eine Binsenweisheit!
Ein User akzeptiert kein System, das kompliziert in der Anwendung ist, sofern er keine Affinität zur Technik besitzt. In der Diplomatie war es unter Kryptographen ein geflügeltes Wort: "Sure, you could teach that to little children, but you could never teach it to attachés!".
Vorrichtung zur Einhaltung von Sicherheitsrichtlinien werden in aller Regel als "nervig" empfunden.