Sicherheit im Internet – Erneut 18.000.000 Passwörter gestohlen

Das Szenario

Seit einigen Tagen geistert es wieder durch alle Medien, schrecklich böse Hacker haben wieder mehr als 18 Millionen Zugangs-Datensätze zu E-Mail-Konten und möglicherweise anderen Diensten gestohlen. Viele Internet-Nutzer sind aktuell schwer verunsichert und fragen sich was nun zu tun ist.

Zunächst sollte man sich fragen wie überhaupt Zugangsdaten gestohlen werden können. Es ist recht unwahrscheinlich, dass ein Hacker eine versteckte Kamera in ihrer Wohnung über ihrem Computer positioniert und sie dabei zu filmen wie sie ihr Online-Banking erledigen. Falls sie jetzt verunsichert sind, suchen sie die Decke über ihrem Computer ab!! Wenn sie dort nichts finden können sie aufatmen, aber nur ganz kurz. Denn tatsächlich funktioniert das Abgreifen von Zugangsdaten fast genau wie mit einer Kamera über dem Computer. Nur ist diese Kamera ein Stückchen Software das sie selbst versehentlich oder unbemerkt auf ihrem eigenen Computer installiert haben.

Diese „Hacker-Kamera“ steckt also in ihrem Computer drin und filmt alles mit was sie auf ihrem Computer tagtäglich so machen. Wenn sie dort beispielsweise https://kunden.commerzbank.de/lp/login?0 eintippen um ihre Miete zu überweisen, so könnte diese kleine „Hacker-Kamera“ hellhörig werden und die nächsten Tastenanschläge heimlich filmen.

Um sich bei der Commerzbank anzumelden tippen sie jetzt ihren Anmeldenamen und ihr Kennwort:

… Karlchen Schlauberger … GruetzwurstIstEklig12345 … Enter …

Die kleine „Hacker-Kamera“ hat das jetzt gefilmt und schickt ihren sehr kurzen Videoclip nun dem Hersteller, der sich darüber natürlich wirklich freuen wird.

Was ist passiert?

Ihr Passwort ist wirklich stark und eigentlich kaum zu knacken, jedenfalls nicht von einem Programm das der Reihe nach immer wieder neue Passwörter erzeugt und ausprobiert. Und doch kennt es jetzt jemand der es außer ihnen nicht kennen sollte. Und überhaupt, woher kommt diese „Hacker-Kamera“ die man gar nicht sehen, fühlen oder schmecken kann?

Die Kamera ist ja nicht wirklich eine Kamera, sie ist eben nur ein winziges Stückchen Software das sie sich versehentlich oder fahrlässig eingefangen haben. Doch wie geht das? Stellen Sie sich vor es gibt eine schwere Grippewelle und in der Turnhalle um die Ecke werden 234 infizierte Personen unter strengsten Auflagen von den gesunden Menschen abgeschirmt um eine weitere Ausbreitung zu vermeiden. Sie kommen jetzt auf die Idee dort eine Runde Basketball spielen zu wollen. Heimlich schleichen Sie sich in ihrer Turnhose an den Wachleuten vorbei und lassen sich mit ihrem Basketball von der Hälfte der kranken Menschen kräftig in Gesicht niesen und die Hände schütteln. Am nächsten Tag fühlen sie sich schlecht, haben hohes Fieber und sind dem Tode nah.

Dies alles nur, weil sie eine Runde Basketball spielen wollten!

Zu ihren Verhalten könnte man sagen: Selbst schuld, warum haben sie nicht alternativ für 15 Euro die Stunde eine Runde Badminton gespielt, dann wären sie jetzt noch gesund!

Warum die Metapher? Ganz einfach, die kleine „Hacker-Kamera“ findet den Weg auf ihren Computer genau so wie sie sich gerade mit der fiesen Schweinegrippe infiziert haben. Statt für ein paar Euro in einer schönen sauberen Turnhalle zu spielen waren sie in einem mit fiesen Vieren verseuchten Ort. Das musste schiefgehen!

Manchmal ist für Internet-Nutzer die Verlockung groß Geld für legal gekaufte Software, Videos und Musik zu sparen und sie sich vermeintlich kostenlos zu besorgen. Das Angebot geklauter Software etc. ist im Internet wirklich riesig und man bekommt praktisch alles was man für Geld kaufen kann irgendwie auch ohne (erst einmal) dafür zu bezahlen. Webseiten wie http://www.piratebay.com und wie sie nicht alle heißen sind  eine Fundgrube für alles was es illegal zum Download gibt. Auf diesen Seiten kann jeder irgendwas zum Download anbieten und es als geknackte Version von Microsoft Office 2013 oder etwas anderem verpacken. Oft bekommt man sogar die Software die dort versprochen wird. Was jedoch verschwiegen wird ist, dass während die teure Software neu „verpackt“ wurde eine kleine „Hacker-Kamera“ hinzugefügt wurde. Für die Installation des so schrecklich billigen Softwarepaketes werden in der Regel Administrator-Rechte benötigt. Weil sie das kostenlose Office nach dem Download ja auch installieren möchten, geben sie ganz brav ihr Administrator-Passwort ein…

Und schon ist es passiert, das Installations-Programm darf auf ihrem Computer nun alles machen was es will. Im besten Falle installiert es nach der Hacker-Kamera ein funktionierendes Microsoft Office. Sie werden nichts bemerken und sich über das kostenlose Office freuen bis eines Tages ihr Bankkonto leer ist und die Polizei an der Haustüre klingelt…

Sind die guten Menschen die für sie das vermeintliche kostenlose Microsoft Office angeboten haben aber doch nicht so nett, gibt es nur eine Fehlermeldung die besagt, dass bei der Installation ein Fehler aufgetreten ist. Sie werden sich ärgern und nach einer weiteren hoffentlich funktionierenden „kostenlosen“ Version von Microsoft Office suchen. Läuft es dumm, fallen sie auf den Trick gleich mehrfach rein und haben am Ende des Tages nicht nur eine „Hacker-Kamera“ versehentlich installiert, sondern gleich mehrere davon…

Dabei wäre alles so einfach gewesen. Sie hätten doch nur beispielsweise hier für 219,99 € eine lebenslange Lizenz für Microsoft Office erwerben müssen.

Die Viren kommen mit der Post

Ok, sie haben jetzt gelernt, dass es in dieser Welt nichts was einen Wert hat wirklich kostenlos gibt. Ihr Office haben sie gekauft oder stattdessen das kostenlose Open-Office installiert. Außerdem lassen sie sich regelmäßig gegen Grippe impfen und knutschen nicht heimlich mit der offensichtlich schwer erkälteten Nachbarin. Super!

Doch was wenn der nette Bote von DHL ein Päckchen bei ihnen anliefert in dem ein süßer kleiner Teddi ist. Sie haben ihn zwar nicht bestellt und auch nichts dafür bezahlt, aber weil er so niedlich ist behalten sie ihn und stellen ihn neben ihren Computer. Was sie nicht wissen, der kleine Teddi hat eine Kamera eingebaut die sie beim Online Banking filmt und alles per Funk direkt nach Russland übermittelt. Klingt unwahrscheinlich, ist es auch. Denn diese Teddis kommen nicht mit DHL sondern per E-Mail. Die Technologien nach denen weltweit E-Mails ausgetauscht werden sind schon wirklich alt und bieten einige Schlupflöcher. So kann man wie bei einem richtigen Brief auch einfach einen anderen Absender auf den Umschlag schreiben. Würden Sie einen Brief nicht öffnen der vom Finanzamt kommt?

So werden täglich weltweit viele Millionen E-Mails verschickt auf denen ein falscher Absender steht und in denen sie aufgefordert werden etwas zu tun was sie sonst nicht tun würden.

  • Vielleicht sollen sie sich kurz bei PayPal anmelden damit geprüft werden kann ob ihre Anmeldedaten sicher sind – Bullshit!
  • Vielleicht will ihre Bank ihr Konto prüfen damit es nicht gesperrt werden muss – Bullshit!
  • Sie haben eine Rückbuchung gemacht und müssen nun mit 179,- Euro Anwaltskosten rechnen alles weitere finden sie im angehängten Brief des Anwalts – Bullshit!
  • Sie bekommen einen kostenlosen Virenscanner geschenkt der die Sicherheit ihren Computer prüft und alles schneller macht – Bullshit!
  • Sie haben gewonnen und müssen nur kurz etwas bestätigen damit das Geld auch überwiesen werden kann – Bullshit!

Diese Liste könnte man endlos verlängern und sie wird täglich länger. Hacker auf der ganzen Welt tun den ganzen Tage nichts anderes als darüber nachzudenken wie man sie mit einer E-Mail dazu bewegen kann etwas zu tun das sie sonst nicht tun würden und das wirklich fiese Konsequenzen nach sich ziehen kann.

Was lernen wir daraus? Wenn man per E-Mail einen Brief einer Anwaltskanzlei bekommt ist das Bullshit denn echte Anwälte schicken ihre Briefe per Einschreiben mit der richtigen Post. Kostenlose Reisen gewinnt man nicht, egal wie oft es auch passiert. Man ist niemals wirklich der 1.000.000.000 Besucher einer Webseite und Anhänge an E-Mails die einem komisch vorkommen öffnet man erst gar nicht.

Der Codex

In der Fernsehserie Dexter wird immer vom „Codex“ gesprochen. Das ist das was Dexter Morgan befolgt damit er nicht geschnappt wird. So ein Codex ist gar nicht schlecht und das Tolle, er ist tatsächlich kostenlos:

  • Wer nicht auf illegalen Webseiten nach geklauter Software sucht handelt sich auf diesem Wege keine Viren ein.
  • Wer Musik bei Apple oder Amazon kauft oder einfach nur Radio hört fängt sich keine Viren ein.
  • E-Mails die vielleicht von googlemail.com oder web.de als „verdächtig“ markiert sind löscht man einfach, denn sie sind es auch.
  • Auf seinem Computer deaktiviert man die Firewall nicht und man verzichtet auf den Remote-Zugang seiner Fritz!Box. Damit kann man zwar nicht aus Honolulu auf die heimischen Kochrezepte zugreifen, aber das braucht man auch nicht.
  • Wenn der Virenscanner auf dem neuen Notebook nach 3 Monaten abgelaufen ist bezahlt man ihn, oder scheißt ihn runter und installiert die kostenlosen Microsoft Security Essentials. Alternativ auch Avira oder einen anderen Virenscanner der nichts oder nur wenig kostet.

Hält man sich an diese einfachen Regeln ist man schon sehr weit auf der sicheren Seite!

Wie sicher ist ein Passwort?

Ich ärgere mich immer wieder wenn ich irgendwo einmal mehr aufgefordert werde ein abgelaufenes Passwort zu erneuern. Noch mehr ärgere ich mich wenn die Regeln mein Passwort nicht erlauben weil zu nicht komplex genug ist oder schon einmal verwendet wurde. Das alles kann einen manchmal fast zum Wahnsinn treiben…

Aber es ist dennoch wichtig und sinnvoll!

Sich ein sicheres Passwort auszudenken ist manchmal gar nicht so einfach. Noch schwieriger wird es wenn man sich dieses „Ding“ dann auch noch über Monate hinweg merken muss. Grundsätzlich könnte man ich einfach eine wahllose lange Folge aus Zeichen und Buchstaben nehmen sie auf einem Zettel notieren und diesen dann in der Schublade neben dem Computer aufbewahren. Daheim ist das halbwegs ok, doch in einem relativ frei zugänglichen Büroraum nur begrenzt zu empfehlen. Man könnte sich alle Passwörter auch in das Handy tippen, so hat man sie immer dabei. Nur was wenn man das Handy verliert?

Ein wirklich gutes Passwort ist lang, hat große und kleine Buchstaben, Zahlen und enthält Sonderzeichen. Nur das kann sich meistens einfach niemand merken. Doch es gibt einige einfache Tricks um trotzdem an ein sicheres Kennwort zu kommen, dass man sich auch merken kann.

Das Kennzeichen ihres ersten Autos war vielleicht BO-NN-123 und ihr erstes Auto war ein VW den sie sich im Jahr 1974 gekauft haben der damals schon zwei Jahre alt war. Daraus läßt sich ein sehr sicheres Passwort erstellen das man sich gut merken kann: VW19721974BO-NN-123

Das ist wirklich sehr sicher und man kann es gut im Kopf behalten: Marke – Baujahr  – Kaufjahr – Kennzeichen

Ein anderer Weg ist eine Eselsbrücke wie:

  • Wir rfen jetzt den Sand nicht in den Kopf stecken
  • Password: WidüjedeSaniindeKost

Das ist echt komplex, offensichtlich total wahllos und dennoch kann man es sich ganz leicht merken. Hängt man nun noch das Geburtsjahr des ersten Kindes oder das der Oma daran, so kann es niemand knacken indem er „herumprobiert“.

Sichere Passwörter generieren

Wer wirklich unkreativ ist und dem einfach kein sicheres Passwort einfallen will, der kann sich auf der Webseite www.sicherespasswort.com Vorschläge für sichere Passwörter generieren lassen.

Bildschirmfoto 2014-04-05 um 12.27.49

Wenn man hier noch zwei der Passwörter miteinander kombiniert so kann einfach nichts mehr schief gehen, es sei denn ein Dieb findet in ihrer Handtasche oder auf ihrem Handy den sicher notwendigen Merkzettel…

Man kann es also machen, man muss es aber nicht. Denn ein Passwort das man sich nicht merken kann und für das man immer wieder einen Merkzettel braucht ist eigentlich ziemlich daneben. Mir persönlich gefällt die Idee einfach die Typenbezeichnungen von Mikroprozessoren mit einem erfundenen Begriff zu kombinieren. So wird es hübsch komplex und man kann es trotzdem (für sich) behalten.

Hier findet man viele schöne Typenbezeichnungen: Liste von Mikroprozessoren

Natürlich sind auch Bezeichnungen anderer technischen Dinge erlaubt, sofern man sie sich merken kann!

Zusammenfassung

Abschließend könnte man sagen, dass sicher ist wer

  • nicht auf Webseiten mit Hacks, Cracks und illegalen Downloads surft
  • keine Installationsprogramme aus unbekannten Quellen ausprobiert
  • verdächtige E-Mails oder Anhänge ungelesen löscht
  • das Betriebssystem seines Computers regelmäßig aktualisiert
  • Firewall und Virenscanner benutzt und auf dem neuesten Stand hält
  • sich Passwörter ausdenkt die komplex sind und die er sich trotzdem merken kann

Ist der Computer erst einmal verseucht und hat sich ein Virus eingenistet („Hacker-Kamera“) so ist es oft nicht ganz leicht diesen wirklich los zu werden. Könnte man die kriminelle Energie dieser Welt in Kupferleitungen umleiten, wir könnten SOFORT aus der Kernenergie aussteigen… Daher hilft es im Zweifel nur den heimischen Computer komplett neu zu installieren. Danach ist mit sehr großer Wahrscheinlichkeit alle Gefahr gebannt.

Wirklich sicher ist indes nur derjenige der seine Bankgeschäfte mit der Kontokarte in der Filiale um die Ecke erledigt. Doch was wenn diese gerade überfallen wird…

Man sieht schon, wirklich sicher ist nicht im Leben. Aber mit etwas Umsicht und Vorsicht kann man schon durchkommen, meistens jedenfalls…

Advertisements

2 thoughts on “Sicherheit im Internet – Erneut 18.000.000 Passwörter gestohlen

  1. Wer nicht überall das gleiche Passwort verwenden will, sich aber dies Dinger einfach nicht merken kann, dem empfehle ich Mnemosyne (http://www.subclassed.com/software/mnemosyne/details). Damit kann man immer wieder seine Kennwörter „erstellen“. Somit braucht man diese nirgends aufzuschreiben (auch nicht in einer Textdatei in Dropbox) und sollte doch mal ein Kennwort gestohlen werden, dann bleiben die anderen Account geschützt.

    Gefällt mir

  2. Hi Ansgar,
    das ist alles unbedingt richtig und sehr wichtig, voll d’accord !
    Umso ärgerlicher finde ich es daher immer wieder, wenn des öfteren, und das nach meiner Erfahrung besonders bei Banken(!), die Anzahl der Passwort-Stellen begrenzt wird und Sonderzeichen (; ? & ß ? etc.) sowie Umlaute in Passwörtern nicht akzeptiert werden.
    Grüße,
    Manfred

    Gefällt mir

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s