All About Security
  • Aktuelle Sicherheitsartikeln als RSS Feed
  • All About Security auf Twitter
  • All About Security auf Xing
  • Unter4Ohren IT-Security Podcast auf YouTube

Identity- und Access-Management

Webseiten sind das Problem

Webseiten sind das Problem

Seitenanbieter in der Pflicht + Sicheres Passwortmanagement gefordert. Zu den Berichten der "New York Times" und des US-Unternehmens Hold Security über den Diebstahl von 1,2 Milliarden Benutzernamen und zugehöriger Passwörter sowie mehr als 500 Millionen E-Mail-Adressen ist festzuhalten, dass die Daten nach aktuellem Kenntnisstand nicht von den privaten Rechnern der Nutzer, sondern offenbar von den Webseiten bzw. aus Datenbanken mehrerer Online-Anbieter stammen.

Zwar ist es richtig, in diesem Zusammenhang erneut auf die Wichtigkeit starker Passwörter und die Vorteile zum Beispiel einer Zwei-Faktor-Authentifizierung hinzuweisen. Im vorliegenden Fall scheinen aber nicht die Passwörter an sich, sondern eher deren Speicherung bzw. die Art der Speicherung in den Webservern der Seitenanbieter das Problem zu sein.

Passwörter können in dieser monströsen Größenordnung nur gestohlen werden, wenn sie unverschlüsselt gespeichert sind oder die Verschlüsselung unsicher ist. Das Bundesamt für Sicherheit in der Informationstechnik ruft deshalb die Anbieter von Online-Diensten zu Recht dazu auf, mehr für die Sicherheit ihrer Systeme und die Sicherheit der Kundendaten zu tun.

Oliver Dehning, Leiter der TeleTrusT-AG "Cloud Security": "Eine bessere Schutzvorkehrung ist es, das Passwort selbst gar nicht zu speichern, sondern nur Passwort-Hashes, aus denen das Passwort nicht zurückberechnet werden kann. Dafür zuständig ist die Seite, in die man sich einloggen will."

Ein weiteres Problem, das Hackern den aktuellen Diebstahl offensichtlich erleichtert hat, sind Botnetze. Diese basieren maßgeblich darauf, dass viele Rechner mindestens teilweise ungeschützt am Internet hängen. Zumeist, aber nicht nur, sind dies Rechner von Privatpersonen und kleineren Unternehmen und Organisationen. Diese Rechner werden von den Kriminellen zur Ausführung ihrer Taten genutzt - ob es nun der Versand von Spams ist (z.B. um weitere Rechner zu kapern) oder das Ausspähen von Websites. Die Täter verfügen dadurch über immense Rechenleistung und Bandbreite und sind auch noch anonym, während der scheinbare Angreifer in Wahrheit unschuldig ist (man könnte ihm höchstens vorhalten, dass er seinen Rechner nicht ausreichend gesichert hat).

Was muss man tun, um solche Diebstähle zu verhindern?

  • Den eigenen Rechner sichern: aktuelle Patches installieren, Virenscanner aktiv und aktuell halten;
  • Webserver-Betreiber sollten die Server mit aktueller Software betreiben (Content Management-Systeme) und Passwörter nicht speichern (nur Hashes) oder doch mindestens sicher verschlüsseln.

Es ist angesichts der berichteten großen Zahl gestohlener Zugangsdaten naheliegend, dass sehr viele Internetnutzer, mutmaßlich auch deutsche, betroffen sind. Welche Sites genau und wie wichtig die Zugänge sind, ist bei der derzeitigen Nachrichtenlage unklar. Vermutlich werden insbesondere Webshops im Fokus sein. Wer sichergehen will, sollte seine Passwörter für Zugänge zu wichtigen Shopping Websites ändern. Die Anbieter dieser Art von Webseiten sind gut beraten, aus dem Vorgang Schlüsse zu ziehen und in mehr IT-Sicherheit zu investieren. Wie eine jüngste Studie zeigte, haben Hackerangriffe auf Kundendaten Einfluss auf die künftige Akzeptanz der Kunden und deren Neigung, die betroffenen Einkaufsportale zu nutzen.

"Elektronische Signatur": TeleTrusT/VOI-Informationstag, Berlin, 18.09.2014: https://www.teletrust.de/veranstaltungen/signaturtag/infotag-elektronische-signatur-2014

"Information Security Solutions Europe": EEMA/TeleTrusT Conference, Brüssel, 14. - 15.10.2014: https://www.teletrust.de/veranstaltungen/isse/isse-2014

"IT-Sicherheit im Smart Home": TeleTrusT-Informationstag, Berlin, 12.11.2014: https://www.teletrust.de/veranstaltungen/smart-home/

Diesen Artikel empfehlen

Autor: Kolaric

Massiv überarbeitungsbedürftig - Gesetz zur Verfassungsschutz-Kooperation

Erklärtes Ziel des Entwurfes ist es, die rechtlichen Konsequenzen aus den schwerwiegenden Fehlern bei den Ermittlungen gegen den NSU zu ziehen. Dabei greift der Entwurf aber nicht die wesentlichen Vorschläge des NSU-Untersuchungsausschusses zur Verbesserung der Geheimdienstkontrolle auf; er macht...

E-Health-Gesetzentwurf ist für ULD enttäuschend

Diese TI ist eine zentrale und notwendige Grundvoraussetzung für sichere medizinische Kommunikation. Um allerdings die bisherigen Widerstände gegen die TI und die eGK zu überwinden, bedarf es weiterer Anstrengungen. Dieser E-Health-Gesetzesentwurf reicht nach Ansicht des ULD nicht, um die Angst vor...

IT-Sicherheitsgesetz unzureichend

Der Cyber-Sicherheitsrat Deutschland e.V. hat auch den gegenwärtigen Gesetzesentwurf ausgewertet. Arne Schönbohm, Präsident Cyber-Sicherheitsrat Deutschland e.V. kommt zu dem Ergebnis: „Es fehlt in Deutschland nach wie vor an einem überzeugenden staatlichen Konzept für Cyber-Sicherheit. Der...

„Kein Freihandelsabkommen bei personenbezogenen Dienstleistungen“

Nach einer Analyse der verfügbaren Informationen, insbesondere von ursprünglich als vertraulich gekennzeichneten Unterlagen aus der 5. Verhandlungsrunde, kommt das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) zu dem Ergebnis, dass die Gespräche zu denjenigen...

Straßenansichtserfassung durch Nokia

Die Aufnahmen werden in einzelnen Städten und Regionen mit Hilfe von auf PKWs installierten Kameras durchgeführt. Die PKWs sind entsprechend mit dem HERE Logo gekennzeichnet. Erfasst werden Panoramabilder sowie mit Hilfe eines Scanners 3D-Daten von Gebäuden und sonstigen räumlichen Strukturen. Wo...

Latentes IT-Sicherheitsrisiko

Die Energiewende ist in aller Munde und beherrscht die Schlagzeilen. Rund 20 % der in Deutschland erzeugten Elektrizität wird mittlerweile aus erneuerbaren Ressourcen gewonnen. Wesentliche Grundlage der Energiewende ist die dezentrale Erzeugung und Verteilung von Elektrizität, die umfangreiche...

Die Bundeskanzlerin muss jetzt handeln!

Politik hat Situation nur ausgesessen Frei nach dem Motto: "Der Worte sind genug gewechselt, lasst mich auch endlich Taten sehen!" formuliert Prof. Norbert Pohlmann, Vorstandsvorsitzender des TeleTrusT, deutlich seine Forderungen an die mächtigste Frau der Welt: "Gerade als...

Deutschland nutzt Potential von Wagniskapital nicht aus

Zahlreiche Untersuchungen belegen: Mehr Venture Capital-Investitionen beschleunigen Innovation, Gründungsaktivitäten und Wirtschaftswachstum. Dies gilt insbesondere auch für die deutsche IT-Sicherheitsindustrie und die dort aktiven Start-Up-Unternehmen. Zwar wurden in Deutschland in den...

"No spy"-Klausel bei IT-Projekten des Bundes

Thorsten Urbanski, Leiter der TeleTrusT-AG "IT Security made in Germany": "Wir begrüßen diese Verschärfung der Anforderungen. Die NSA-Debatte zeigt Auswirkungen auf Verwaltungs- und Rechtsetzungsebene. Insbesondere vertrauenswürdige IT-Sicherheitstechnologie 'made in Germany' wird...