Für Aufregung sorgte der jüngste Daten-Leak des 20-jährigen Hackers 0rbit. Durch eine Mischung aus schwachen Passwörtern und unzureichenden Sicherheitsmechanismen der E-Mail-Dienstleister war es dem Hacker gelungen, an unzählige persönliche Daten von Politikern und Prominenten zu gelangen. Prof. Norbert Pohlmann, Leiter des Instituts für Internet-Sicherheit – if(is), sprach mit der Neue Westfälische-Zeitung über die Sicherheitsstandards der E-Mail-Anbieter.
Hacker 0rbit knackte offenbar viele E-Mail-Konten, weil diese durch einfache Passwörter nur unzureichend geschützt waren. Einmal im Account, bekam der Hacker Zugriff auf weitere wichtige Konten, zum Beispiel auf soziale Netzwerke, die mit der E-Mail-Adresse verknüpft waren. Stellt sich die Frage, welche Sicherheitsmechanismen die E-Mail-Provider nutzen und inwiefern diese nicht sicher genug sind. Laut eines Zeugen im jüngsten Hackingskandal gäbe es beim Anbieter GMX eine Sicherheitslücke beim Passwort-Reset/Support, dadurch hätte sich Hacker Orbit bei den damaligen Hacks bei YouTubern zumeist die Accounts besorgt. GMX allerdings dementiert die Vorwürfe.
Fakt ist jedoch, dass im Gegensatz zur amerikanischen Konkurrenz von Google oder Apple, einige deutsche E-Mail-Anbieter bislang auf die sogenannte „Zwei-Faktor-Authentifizierung“ verzichten: „Das ist extrem riskant“, sagt Prof. Norbert Pohlmann vom if(is) im Gespräch mit nw.de. Mit Mail-Anbietern wie GMX habe es diesbezüglich schon einige Gespräche seitens des Instituts gegeben. Das if(is), das an der Westfälischen Hochschule in Gelsenkirchen ansässig ist, gehe proaktiv auf Web-Dienstleister zu und gäbe Tipps in Sicherheitsfragen.
„Sicherheitsmaßnahmen wie diese kosten viel Geld und Zeit“, weiß Pohlmann. „Darum scheuen sich viele Anbieter, diese umzusetzen.“ Das sei aber kein alleiniges Problem von GMX und Web.de, sondern betreffe auch andere Anbieter. „Man muss dennoch sagen, dass Google-Mail hier deutlich weiter ist. Die könnten sich solch laxe Sicherheitsvorkehrungen gar nicht erlauben“, verdeutlicht der Informatiker Pohlmann und weißt auf die Lösung der Zwei-Faktor-Authentifizierung hin. Das Prinzip sorgt für deutlich mehr Sicherheit, schreckt aber die Nutzer bis dato aufgrund des geringen Mehraufwandes noch ab: „Zahlen belegen, dass selbst bei Google-Mail nur zehn Prozent aller Nutzer die Zwei-Faktor-Authentifizierung angeschaltet haben.“ So konnten im aktuellen Hacking-Fall auch Google-Mail-Konten geknackt werden, die im Regelfall als sicher gelten.
Pohlmann empfiehlt mit Nachdruck die Nutzung der Zwei-Faktor-Methode und wünscht sich eine flächendeckende Einführung dieses Sicherheitsmechanismus bei allen Providern, da damit solche Vorfälle, wie der letzte Hack, verhindert werden könnten.
Analog zum Thema wird derzeit ein großes Projekt am Institut für Internet-Sicherheit realisiert: Die Bezirksregierung Münster fördert mit einer Zuwendung aus Landesmitteln nach der Richtlinie zur Förderung von digitalen Modellregionen 2018 das Projekt „Smartphone-Bürger-ID“ mit insgesamt 3.825.000 Euro. „Smartphone-Bürger-ID“ ist ein Kooperationsprojekt der Stadt Gelsenkirchen, dem Institut für Internet-Sicherheit, der Firma XignSys GmbH und der Stadt Aachen. Die Kooperationspartner entwickeln eine modellhafte Authentifizierungsmöglichkeit via Smartphone, um sie im Bereich E-Government einzusetzen. Bürgerinnen und Bürger werden kommunale Webdienste und E-Government über die Registrierung an einem Identitätsprovider zukünftig einfacher nutzen können.
Mehr zur Arbeit von XignSys unter: https://www.xignsys.com/ Den gesamten Artikel der NW gibt es hier: https://www.nw.de/blogs/games_und_netzwelt/22347107_0rbit-knackte-viele-E-Mail-Konten-Wie-unsicher-sind-GMX-Web.de-und-Co..html