Können Sich sich Passwörter auch so schlecht merken und benutzen deswegen immer das gleiche für sämtliche Webseiten? Keine gute Idee. Unter dem Namen „Collection #1“ sind jetzt 773 Millionen gehackte E-Mail-Adressen und 21 Millionen unterschiedliche Passwörter im Klartext in Untergrund-Foren aufgetaucht. Anscheinend stammen die Daten aus verschiedenen Hacks und Leaks.
Die Daten wurden so strukturiert, dass man sie für sogenanntes „Credential Stuffing“ nutzen kann. Bei einem solchen Angriff versucht der Hacker nicht das Passwort eines einzelnen Accounts zu knacken, sondern füttert den Login-Mechanismus automatisch mit E-Mail- und Passwort-Kombinationen aus einer großen Liste. Diese besteht bei der „Collection #1“-Sammlung aus möglichen 2,7 Milliarden Kombinationen. So lassen sich beispielsweise Webdienste und Social Media Accounts hacken.
„Niemand kann verhindern, dass Daten gestohlen werden, aber man kann natürlich dafür sorgen, dass die Angreifer mit den Daten nichts anfangen können“, sagt Elmar Eperiesi-Beck, CEO der eperi GmbH. Das funktioniert beispielsweise mit einer Verschlüsselungslösung wie dem eperi Gateway. Sind E-Mails beispielsweise sicher verschlüsselt, dann kann ein Angreifer zwar die E-Mail entwenden, kann aber den Inhalt nicht lesen. Gerade an dieser Stelle muss man nach den Sicherheitsmaßnahmen der Cloudanbieter fragen. Sind diese Maßnahmen tatsächlich für jeden Nutzer ausreichend? Das bleibt zu bezweifeln, wo doch fast wöchentlich neue Datenleaks veröffentlicht werden. „Wir müssen die Diskussion um den Datenschutz in Cloud-Anwendungen neu eröffnen. Ansonsten sind zukünftig weder Unternehmensinformationen noch die Daten von Privatpersonen bei Drittanbietern sicher. Und es gibt technische Lösungen, die den Nutzungskomfort nicht einschränken. Leider wissen viel zu wenige Entscheider davon“, meint Elmar Eperiesi-Beck.
Auch interessant:
