Zu den veröffentlichten Daten gehören Handynummern, Adressen, Personalausweise, Chats und Kreditkarteninformationen. In einigen Fällen waren die Daten noch privater. Timo Kob, Experte für Cybersecurity, analysiert den Vorfall.

Anzeige

Das private E-Mail-Postfach ist im Jahr 2019 viel mehr als nur ein Empfangskorb für elektronische Post – es ist der Schlüssel zur Online-Identität. Denn der Login-Name für Online-Shoppingangebote, soziale Netzwerke, Clouddienste oder Finanzangebote wie Paypal ist fast immer die private Mailadresse.

Und vergisst der Nutzer sein Kennwort, so bietet fast jeder Dienst die Option dazu, per Mail an die hinterlegte Adresse das Kennwort zurückzusetzen. Kurz gesagt, gelingt einem Hacker der Einbruch in das private E-Mail-Postfach, indem er das Passwort über Phishing erbeutet oder es schlicht errät, dann kann er von dort aus meist auch Zugriff auf weitere elementare Dienste erlangen.

Lesen Sie auch Hackerangriff „G0d“s Werk und Twitters Beitrag

Deswegen sollten Nutzer ihr privates E-Mail-Postfach genauso gut oder besser als ihr Online-Bankkonto sichern. Dafür sind mehrere Vorsichtsmaßnahmen elementar wichtig: Passwörter für das E-Mail-Konto sollten nirgends sonst verwendet werden – so stellt der Nutzer sicher, dass ein Hack bei einem anderen Dienst nicht auch gleichzeitig seinen E-Mail-Konto kompromittiert.

Lesen Sie auch Hackerangriff „G0d“s Werk und Twitters Beitrag

Anzeige

Passwörter sollten komplex und nicht einfach erratbar sein – gleichzeitig aber sollte der Nutzer sie sich gut merken können. Ein Beispiel wäre „Mein1erTeppichimFluristblau.“ – das Passwort enthält eine irrelevante Information, die der Nutzer sich gut merken kann, es enthält eine Zahl, ein Sonderzeichen und Groß- und Kleinschreibung.

Darüber hinaus sollten Nutzer nicht auf Passwörter allein vertrauen, denn diese lassen sich etwa über Malware auf dem Computer oder Smartphone ausspionieren. Stattdessen sollten die Nutzer ihr E-Mail-Konto bei einem Anbieter anlegen, der eine sogenannte Zwei-Faktor-Autorisierung erlaubt. Hinter dem sperrigen Begriff verbergen sich Verfahren zum Login bei Webseiten, E-Mail-Konten oder Unternehmens-Servern, die neben dem Passwort immer eine weitere Sicherung nutzen – etwa über ein zweites Gerät oder einen Gegenstand, den der Nutzer bei sich trägt.

Zwei-Faktor-Autorisierung mit Einmalcodes

Das aktuell verbreitetste Zwei-Faktor-Sicherheitsverfahren ist die Zusendung von Einmalcodes per SMS aufs Smartphone oder per App auf dem Smartphone – es dürfte für die meisten Nutzer absolut ausreichen. Doch auch Smartphones lassen sich hacken – in der Vergangenheit ist es Angreifern sogar gelungen, aus der Ferne Mobilfunknummern zu kapern oder Sim-Karten zu kopieren, um SMS mit den Einmalcodes abzufangen.

Anzeige

Deswegen bietet etwa Google mittlerweile eine Autorisierung über einen physischen Chipschlüssel. Das kleine Plastikgerät sieht aus wie eine Mischung aus Schlüsselanhänger und USB-Stick und passt an jeden Schlüsselbund, sie dienen als reale Schlüssel zum digitalen Nutzerkonto.

Lesen Sie auch Massiver Diebstahl Datenleck betrifft deutsche Politiker „aller Ebenen“ – auch Merkel

Die Idee hinter dem Schlüssel ist simpel: Nutzer müssen zur Anmeldung an einem neuen Computer oder Smartphone den Schlüssel in einen USB-Anschluss ihres Geräts einstecken und können sich erst dann anmelden. Ein Hacker, der ein Passwort per Phishing erobert hat, kommt ohne den physischen Schlüssel seinem Ziel keinen Schritt näher.

Umgekehrt funktioniert der Schlüssel nicht ohne das Passwort – ein gewöhnlicher Dieb, der den Schlüsselbund samt Schlüssel klaut, kann damit nichts anfangen. Der populärste Hersteller für die Schlüssel heißt Yubico, der den sogenannten Yubikey ausliefert. Der Standard hinter den Schlüsseln nennt sich „U2F“, die Abkürzung steht für „universelles Zwei-Faktor-Verfahren“.

Mehr Sicherheit mit Schlüsseln

Anzeige

Zu den Unternehmen, die die Sicherung per Yubikey anbieten, zählen neben Google mit dem Browser Chrome auch Microsoft mit dem Betriebssystem Windows 10 sowie Facebook, Dropbox und diverse populäre Passwort-Manager. Die entsprechenden Schlüssel werden mittlerweile von mehreren Herstellern ab gut 20 Euro angeboten, in Versionen mit Bluetooth-Funk funktionieren sie auch auf dem Smartphone.

Lesen Sie auch Online-Angriff auf Politiker Hinter dem Datenleck „steckt eindeutig Fleißarbeit“

Wer einen Schlüssel gekauft hat, muss diesen zunächst an das jeweilige Nutzerkonto koppeln – danach lässt sich das Konto auf einem neuen Gerät nur noch mit dem Schlüssel öffnen. Ein Schlüssel kann für verschiedene Online-Dienste eingesetzt werden. Wer ganz sichergehen will, kann je nach Anwendung festlegen, dass der Schlüssel bei jedem Neustart eines Gerätes eingesteckt werden muss.

Sollte der Schlüssel allerdings einmal verloren oder kaputt gehen, sollte der Nutzer vorbereitet sein, sonst bleibt der Zugang versperrt. Als Absicherung gegen Verlust oder Diebstahl stellen Google und Co Einmalcodes zur Verfügung, die am besten ausgedruckt und in einen Safe gelegt werden sollten. Gehen auch diese verloren, bleibt der Zugang versperrt.