„Der Nutzer ist eine große Schwachstelle“

Immer mehr Menschen werden Opfer von digitalem Datendiebstahl. Jüngst sorgte ein Vorfall bei dem Internetdienst Yahoo für Aufsehen. Hacker hatten eine Sicherheitslücke des Konzerns ausgenutzt und rund 450.000 sensible Daten gestohlen, die anschließend frei im Internet kursierten. Auch wenn die Hacker vorgeben, nur auf die Fehler im System hinweisen zu wollen – ihnen scheint nicht bewusst zu sein, dass sich die Aktionen in der realen Welt sozialschädigend auswirken können. Ein Trierer Yahoo-Nutzer weiß nun jedenfalls ein Lied davon zu singen. Der Trierer Professor Ralf Küsters sieht derweil auch die Nutzer in der Pflicht.

TRIER. An manchen Tagen schlägt man die Zeitung auf, überfliegt die Schlagzeilen – und widmet sich anschließend wieder unbeeindruckt dem Frühstück. Norbert Damm wird es vielleicht ähnlich gegangen sein, als er die Meldung über die Datenpanne bei Yahoo las. Bis er bemerkte, dass auch er zu den Betroffenen gehört.

„Auf einmal riefen mich Freunde und Bekannte an und wollten wissen, was ich ihnen da für E-Mails schicke“, erzählt der 59-Jährige im Gespräch mit 16vor. Im Laufe des Tages häuften sich die Reaktionen. Als er an der Buchhandlung eines alten Freundes vorbeigeht, erfährt er von diesem, dass er angeblich eine Verabredung mit ihm wolle. Seine Arbeitskollegin erhält dieselbe dubiose Einladung ins virtuelle Postfach, einem Bekannten wird Damms Lebenslauf von der Karriereplattform „Xing“ zugeschickt. Nach weiteren unangenehmen Nachfragen beschließt der Trierer, nach Hause zu gehen. „Das Schlimme ist, dass du durch die Stadt gehst und dich fragst, was die anderen über dich denken. Die trauen sich kaum, das anzusprechen, weil die dich für bekloppt halten“.

Was war passiert? Durch die Veröffentlichung der sensiblen Nutzerdaten im Internet war eine Art Selbstbedienungsladen entstanden. Hacker loggten sich in die geknackten Accounts ein und griffen nach Belieben dort gespeicherte Zugangsdaten zu anderen Plattformen ab. Auch Damm ist überzeugt, dass seine Daten „über Yahoo verwirbelt“ wurden.

„Als Nutzer einfach Pech gehabt“

Das Ausnutzen von Sicherheitslücken in den Systemen der Internet-Konzerne ist laut Ralf Küsters von der Universität Trier nur eine von vielen Möglichkeiten, an Zugangsdaten zu gelangen – eine, der man machtlos gegenüberstehe. In solch einem Fall habe man „als Nutzer einfach Pech gehabt.“ Dennoch ist der Experte für Websicherheit davon überzeugt, dass „die großen Firmen eine Menge Energie reinstecken, um ihre Systeme sicherer zu machen.“ Die vorherrschende Meinung, nach der die Konzerne besonders anfällig gegenüber virtuellen Angriffen seien, hält der Professor auch für medial verschuldet. „Wenn eine kleine Firma Sicherheitslücken hat, dann ist das keine Nachricht wert.“ Die unzähligen Male, die ein Hackerangriff abgewehrt wird, schafften es nicht in die Zeitung und verzerrten das öffentliche Problembewusstsein. Außerdem ist der von Menschenhand geschriebene Programmcode sehr komplex und fehleranfällig. Dadurch könne es „keine hundertprozentige Sicherheit“ geben, betont Küsters.

Das gilt umso mehr für Fälle, in denen die Hacker das Passwort durch die „trial and error“-Methode schlicht erraten können. Hier nimmt Küsters die Anwender mit in die Verantwortung: „Der Nutzer ist eine große Schwachstelle.“ Die einfallslosen Passwörter können mit den Tricks der Hacker leicht geknackt werden; sogenannte Rainbow-Tables kümmern sich dann um die komplizierteren Varianten. Die Hacker profitieren zusätzlich von der menschlichen Bequemlichkeit, denn oftmals wird dasselbe Passwort für verschiedene Dienste verwendet. Doch wie sieht das perfekte Passwort eigentlich aus? „Es ist lang und hat eine beliebige Reihenfolge von (Sonder)Zeichen. Irgendetwas, was man sich nicht merken kann“, erklärt Küsters. Am besten solle man „zufällig auf der Tastatur rumtippen“ – und den Zettel, auf den man die kryptische Neuerwerbung niederschreibt, anschließend gut verstecken. Darüber hinaus rät Küsters dazu, das Passwort regelmäßig zu ändern.

Norbert Damm räumt denn auch ein, dass er etwas „arglos“ gewesen sei, was die „Sicherheitsstufen von Passwörtern angeht.“ Seit er den Tipp zweier befreundeter Informatiker beherzigt und seine Passwörter verkompliziert hat, ist es in seinem Postfach ruhiger geworden. Dennoch hat er für die Motive der Hacker, die ihren Angriff als „Weckruf“ verstanden wissen wollen, kein Verständnis. „Die Hacker wollten die Leichtigkeit ihres Tuns demonstrieren. Sie vergessen jedoch, was sie den Usern damit antun.“ Aus Sicht der Betroffenen spielt es also keine Rolle, ob man es mit subkulturellen „Skriptkiddies“ (Küsters) oder organisierter Netzkriminalität zu tun hat. Es zählen die „sozialen Verwerfungen“, die ihre Handlungen hervorrufen. Diese reichen oftmals weiter als vermutet.

Am Abend des gleichen Tages rief ein Bekannter bei Damm an. Dieser bat ihn, endlich mit den Dating-Anfragen aufzuhören. Bei dem Bekannten handelt es sich um das Missbrauchsopfer eines katholischen Geistlichen. Verständlich, dass der Mann für solcherart Anfragen wenig übrig hat. Das sei schrecklich, so der sichtlich betroffene Damm. Auch die Tochter seiner Freundin habe eine Anfrage erhalten. „Mittlerweile“, so Damm weiter, „hat sich der Kreis jedoch geschlossen.“ Über GMX habe die Tochter mit ähnlichen Problemen zu kämpfen gehabt und habe letztlich davon überzeugt werden können, dass er keinerlei amouröse Intentionen ihr gegenüber hegt.

Derweil sind Gegenentwürfe zu der webbasierten Arbeitsweise schwer ausfindig zu machen. „Meine ganze Arbeit läuft über das Netz“, erklärt Damm. Deshalb könne er es sich nicht leisten, auf das Internet zu verzichten. „Das ist so als würde ich sagen, ich lasse jetzt mein Fahrrad oder mein Auto stehen.“ Damm, der bereits seit 1996 Kunde bei Yahoo ist, zeigt sich insbesondere von der verhaltenen Reaktion des Konzerns enttäuscht. „Die Anbieter versuchen, solche Vorfälle mit technischen Argumenten zu rechtfertigen“ und ließen es dabei an „menschlicher Anteilnahme“ missen. Während er den angerichteten Schaden nun ausbaden dürfe, „lacht sich Yahoo kaputt.“ Dennoch will er sich von dem Vorfall nicht beeindrucken lassen. Daran könnte auch der Mangel an Alternativen Schuld sein. Denn auch wenn Norbert Damm seine Aktivitäten im Internet deutlich reduziert hat – „bei irgendeiner Plattform musst du ja bleiben.“

Print Friendly, PDF & Email

von

3 Leserbriefe | RSS-Abo

  1. Jürgen Müller schreibt:

    Also zufällig auf der Tastatur herumzuspielen, ist eine Möglichkeit, aber das gutverstecken kann man da meistens auch vergessen. Wie oft sehe ich Passwörter am Monitor kleben oder sind unter auf der durchsichtigen Schreibtichunterlage „versteckt“ ;)

    Eine einfache Möglichkeit ist sich einen Merksatz zu suchen, und diesen zu „verschlüsseln“:

    Aus „Tante Erna hat am 5.März Geburtstag, leider IMMER noch ! “ wird

    TEha5MGlIn!

  2. Andreas Brühl schreibt:

    „Doch wie sieht das perfekte Passwort eigentlich aus? “Es ist lang und hat eine beliebige Reihenfolge von (Sonder)Zeichen. Irgendetwas, was man sich nicht merken kann”, erklärt Küsters. Am besten solle man “zufällig auf der Tastatur rumtippen” – und den Zettel, auf den man die kryptische Neuerwerbung niederschreibt, anschließend gut verstecken.“

    Diesen Ratschlag halte ich – bis auf das lang – für falsch, denn der Zettel kann leicht verloren gehen oder von Fremden gelesen werden.

    Zumindest sollte man – da man heutzutage häufig mehrere dutzend Passwörter hat (sie sollen ja alle verschieden sein) – einen Software-Passwort-Tresor wie z.B. das Tool „KeePass“ verwenden – dieser erzeugt übrigens auf Wunsch auch Zufallspasswörter, und zwar besser als „rumtippen“ es je könnte. Dann muss man sich nur noch ein Master-Passwort merken können.

    Wichtig scheint mir vor allem die Gesamtlänge eines Passworts zu sein. Auch von Vorteil ist es, Zeichen aller vier üblichen Zeichenklassen (Klein-, Großbuchstaben, Sonderzeichen und Ziffern) zu verwenden, wobei gerne gewarnt wird, dass nicht auf allen Tastaturen alle Sonderzeichen zu finden sind.

    Die Zeichenfolge „$h/U-9xR43as“ ist zum Beispiel unter dem Gesichtspunkt der Knackbarkeit wesentlich unsicherer als „12345…..IloveTrier“ – trotzdem lässt sich letzteres Passwort wesentlich besser merken.

    In diesem englischsprachigen Comic wird die Problematik schön auf den Punkt gebracht: http://bit.ly/OdQtRS

    Gruss,
    Andreas

  3. Norbert Damm schreibt:

    “Als Nutzer einfach Pech gehabt”. Ja dann. Wie sicher sind die Daten, die ich als Bürger im Rahmen des Bürgerhaushaltes Trier eingebe? Warum schweigen so viele zu diesem Thema, obwohl sie genauso betroffen sind wie ich? Diese Tabuisierung macht es den Hackern und den Anbietern noch leichter, dieses Thema zu ignorieren. Auch die im Stadtrat vertretenen politischen Parteien können nicht einfach weggucken. Wo sind die ach sio internetkompetenten Piraten??? Warum höre ich nichts? Bin ich der einzige „Pechvogel“?

Schreiben Sie einen Leserbrief

Angabe Ihres tatsächlichen Namens erforderlich, sonst wird der Beitrag nicht veröffentlicht!

Bitte beachten Sie unsere Kommentarrichtlinien!

Noch Zeichen.

Bitte erst die Rechenaufgabe lösen! * Time limit is exhausted. Please reload the CAPTCHA.