Sehr gängige Ausreden, um sich nicht mit dem Thema Datenschutz und Informationssicherheit auseinandersetzen zu müssen, lauten unter anderem „für mich und meine Daten interessiert sich doch ohnehin kein_e Hacker_in. Ich bin doch nur ein kleiner Fisch“ oder „ich habe ja ohnehin nichts zu verbergen!“.
Sind Sie sich da wirklich sicher?
Anfang 2021 ist in einem Hacker_innen-Forum ein Datensatz mit 3,2 Milliarden E-Mail- und Passwort-Kombinationen aufgetaucht. Es handelt sich dabei um keinen neuen Hack, sondern um eine Sammlung von Daten aus vergangenen Datenlecks.[1], öffnet eine externe URL in einem neuen Fenster Es wird wohl nicht der letzte derartige Datensatz sein.
Das deutsche BSI[2], öffnet eine externe URL in einem neuen Fenster geht davon aus, dass fast jedes Unternehmen in Deutschland bereits mit Cyberangriffen zu tun hatte (dies trifft auch für Österreich zu[3], öffnet eine externe URL in einem neuen Fenster), wobei das nicht heißt, dass alle Angriffe auch erfolgreich waren. Der Leiter des BSI – Arne Schönbohm – berichtet, dass im Jahr 2020 rund 117 Millionen (!) neue Varianten von Schadprogrammen kursierten, wobei die Angreifer_innen immer aggressiver vorgehen.[4], öffnet eine externe URL in einem neuen Fenster Gerade auch Universitäten und Forschungseinrichtungen werden vermehrt zur Zielscheibe von Cyberattacken[5], öffnet eine externe URL in einem neuen Fenster, wie man am Beispiel der TU Berlin sieht. Diese wurde Ende April 2021 Opfer eines Angriffes. Die zentralen IT-Services der TU Berlin stehen bis heute nicht vollumfänglich zur Verfügung.
Was bedeutet das für unseren Arbeitsalltag?
Wenn Sie beispielsweise für Ihre privaten Accounts (z.B. Google, Amazon, Facebook, Ikea, Zalando etc.) dasselbe Passwort verwenden wie für Ihren TU-Account, ist es für Hacker_innen ein Leichtes auch Letzteren zu hacken, wenn die Datenbanken einer Ihrer privat genutzten Plattformen gehackt wurden. Es mag zwar sein, dass die von Ihnen bearbeiteten Daten nicht von allzu großem Interesse für Hacker_innen sind. Ihr Account kann aber als Ausgangsbasis benutzt werden, um tiefer in die Systeme der TU Wien einzudringen und dort Schaden anzurichten. Das gilt es, unbedingt zu vermeiden.
Wie können Sie herausfinden, ob Sie bereits Opfer eines Hacking-Angriffes wurden und ob die Passwörter die Sie verwenden sicher sind?
Auf der Seite Have I Been Pwned (https://haveibeenpwned.com/, öffnet eine externe URL in einem neuen Fenster) können Sie prüfen, ob Sie von einem indirekten Passwortdiebstahl betroffen sind. Dort können Sie auch die Sicherheit Ihres Passwortes überprüfen, indem Sie es auf der Seite eingeben (https://haveibeenpwned.com/Passwords, öffnet eine externe URL in einem neuen Fenster) und auf „pwned?“ klicken.
„Mooooment! Mein Passwort auf einer Website eingeben? Dort wird es womöglich gespeichert und erst recht abgegriffen und für eine Attacke verwendet!“, wendet der_die aufmerksame Kolleg_in nun ein. Völlig richtig! Grundsätzlich.
Die Betreiber_innen von Have I Been Pwned verwenden aber einen komplexen Sicherheitsmechanismus[6], öffnet eine externe URL in einem neuen Fenster, wodurch die Speicherung des Passwortes nicht erforderlich ist. Es wird mittels kryptographischem Verfahren eine einmalige, nur zu einem Kennwort passende, Prüfsumme des Kennworts berechnet, die keinen Rückschluss auf das Passwort zulässt. Wird das Kennwort eingegeben, erstellt die Seite lokal in Ihrem Browser ebenfalls eine solche Prüfsumme. Dann werden nur die ersten fünf Stellen des Hashes an den Server von Have I Been Pwned geschickt. Der wiederum schickt eine Liste aller Prüfsummen, die mit diesen fünf Zeichen beginnen. Der Browser gleicht die Daten dann ab.[7], öffnet eine externe URL in einem neuen Fenster Keine Sorge, auch mein Gehirn verknotet sich gelegentlich beim Lesen solcher Beschreibungen. Zum Glück haben wir viele geduldige IT-Spezialist_innen im Haus, die beim Entknoten behilflich sind und uns die Technik dahinter erklären.
Eine gute und einfache Beschreibung von Have I Been Pwned finden Sie hier: https://www.spiegel.de/fotostrecke/hack-check-so-funktioniert-have-i-been-pwned-fotostrecke-166383.html, öffnet eine externe URL in einem neuen Fenster
Ihre Passwörter für den TU Account und für Ihren upTUdate-Account können Sie unter folgendem Link ändern: https://login.tuwien.ac.at/passwort/mitarbeiter/, öffnet eine externe URL in einem neuen Fenster.
Im nächsten Beitrag erfahren Sie mehr darüber, wie und warum Zugangsdaten gestohlen werden.
[1], öffnet eine externe URL in einem neuen Fenster siehe: https://www.derstandard.at/story/2000124114364/hacker-stellen-sammlung-von-3-2-milliarden-passwoertern-ins-netz, öffnet eine externe URL in einem neuen Fenster (zuletzt abgerufen am 16.07.2021).
[2], öffnet eine externe URL in einem neuen Fenster Anmerkung: Bundesamt für Sicherheit in der Informationstechnik https://www.bsi-fuer-buerger.de/BSIFB/DE/Home/home_node.html, öffnet eine externe URL in einem neuen Fenster
[3], öffnet eine externe URL in einem neuen Fenster Vgl. E. Schultz: Statistiken zur Internetkriminalität in Österreich. Statista. 10.12.2020. https://de.statista.com/themen/4253/internetkriminalitaet-in-oesterreich/, öffnet eine externe URL in einem neuen Fenster (zuletzt abgerufen am 13.01.2021).
[4], öffnet eine externe URL in einem neuen Fenster Vgl. B. Benrath: BSI-Chef im Interview. „Die Erpresser werden aggressiver“. Frankfurter Allgemeine Zeitung. FAZ.NET. 11.01.2021 (zuletzt abgerufen am 13.01.2021).
[5], öffnet eine externe URL in einem neuen Fenster Vgl. T. Thiel: Cyberangriffe auf Forschung. Viren im Goldrausch. Frankfurter Allgemeine Zeitung. FAZ.NET. 06.06.2020 (zuletzt abgerufen am 13.01.2021).
[6], öffnet eine externe URL in einem neuen Fenster siehe: (https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2/#cloudflareprivacyandkanonymity, öffnet eine externe URL in einem neuen Fenster) (zuletzt abgerufen am 13.01.2021).
[7], öffnet eine externe URL in einem neuen Fenster Vgl. M. Schmidt: Special: Sicherheits-Checker – Hack-Checker Have I Been Pwned. Have I Been Pwened: Online-Konto gehackt? Finden Sie es heraus! Computer Bild. 10.05.2019 (zuletzt abgerufen am 13.01.2021).