Böse Falle

Das waren die größten Sicherheitslücken im Jahr 2012

Mittwoch, 16.01.2013 | 11:17 von Brad Chacos
Das sind die größten Sicherheits-Desaster des Jahres 2012
Vergrößern Das sind die größten Sicherheits-Desaster des Jahres 2012
© iStockphoto.com/drxy
Das Jahr 2012 hat eines bewiesen: Nicht nur schwache Passwörter können spielend geknackt werden, auch gut abgesicherte Accounts sind nicht sicher vor Hackern. Wir werfen einen Blick zurück auf die schlimmsten Sicherheitspannen des vergangenen Jahres.
Klarer Fall: Zu einfache Passwörter wie das beliebte P@$$w0rd oder Test123 sind schnell geknackt. So einfach sollten Sie es Angreifern wirklich nicht machen. Doch das vor kurzem zu Ende gegangene Jahr 2012 hat leider auch bewiesen, dass selbst die vorsichtigsten Internetnutzer ihre Vorsichtsmaßnahmen noch einmal deutlich verbessern sollten. Denn die immer stärker mit der Cloud verbundene und untereinander vernetzte PC-Welt nimmt auch immer größeren Schaden, wenn Angreifer zuschlagen.

Eine solide Sicherheits-Software  ( auch im Unternehmensumfeld ) sollte die Basis Ihrer Verteidigung bilden - doch auch Ihre eigenen Verhaltensweisen sollten Sie an die neuen Gefahren anpassen. Ein geknacktes LinedIn-Passwort richtet zum Beispiel wenig Schaden an, wenn dessen spezielle Kombination aus Zahlen und Buchstaben ausschließlich die Tür zu diesem sozialen Netzwerk öffnet. Anders sieht es schon aus, wenn das Passwort gleich auch noch für Facebook, Google+, Twitter, Xing und andere Plattformen benutzt wird.

Aktuelle Sicherheitsvorkehrungen sind also dringend notwendig - das beweist unser Blick zurück auf die schlimmsten Sicherheitslecks und Sicherheitspannen des Jahres 2012.

Hack-Angriffe auf Honan

Der lukrativste Hack von 2012 umfasste nicht etwa den Diebstahl von Millionen Nutzerdaten oder Kontoinformationen. Nein, das spektakulärste Sicherheits-Desaster des Jahres 2012 war der Hack gegen einen einzelnen Mann: Gegen den Wired-Autors Mat Honan . Innerhalb einer einzigen Stunde verschafften sich Hacker Zugang zu Honans Amazon-Konto, löschten seinen Google-Account und machten die Festplatten dreier seiner Apple-Geräte ferngesteuert dem Erdboden gleich - um am Ende ein einziges Ziel zu erreichen: Die volle Kontrolle über Honans Twitter-Account. Warum all die Zerstörungswut? Weil der @mat-Twittername mit nur drei Buchstaben als wahre Goldgrube gilt.

Dabei ist der Hack auch durch Honans eigenes Verschulden überhaupt erst möglich geworden: Passwort-Verkettung verschiedener, wichtiger Konten, ein ähnliches Namensschema für mehrere Mail-Accounts, Verzicht auf Doppel-Authentifizierung und Vernachlässigung wichtiger Sicherheitsprotokolle bei Amazon und Apple. Insbesondere letzteres konnten sich die Hacker spielend zunutze machen.

Der Flame-Virus

Er geht zurück bis ins Jahr 2010, entdeckt wurde er allerdings erst im Mai 2012: Der Flame-Virus , der frappierende Ähnlichkeit zum Regierungs-Virus Stuxnet besitzt. Mit seiner komplexen Code-Basis dient er in erster Linie dazu, Länder im Mittleren Osten wie Ägypten, Syrien, Libanon, Sudan und Iran auszuspionieren.

Sobald sich Flame in einem System eingenistet hat, installiert er eigenständig Module, die unter anderem Skype-Gespräche aufzeichnen, Screenshots anfertigen, Netzwerkverbindungen ausschnüffeln und sämtliche Tastatureingaben und Daten aus Eingabefeldern speichern können. Mit anderen Worten: Ein ziemlich fieser Zeitgenosse. Zudem lädt Flame alle gesammelten Informationen ins Netz, um die Server zu kontrollieren. Kurz nachdem Kaspersky-Forscher die Existenz des Flame-Virus ausgemacht hatten, aktivierte der verantwortliche Hacker eine Art Killerkommando, um die Software von den infizierten Rechnern zu entfernen.

Das Homebrew-Tool, das Hoteltüren knackt

Auf der Black Hat-Sicherheitskonferenz im Juli 2012 enthüllte Forscher Cody Brocious ein Gerät , mit dem man nahezu narrensicher elektronische Türen der Firma Onity knacken konnte. Onity-Schlösser werden in rund 4 Millionen Türen von tausenden Hotels auf der ganzen Welt verbaut - unter anderem auch in Luxus-Hotels wie dem Hyatt, Marriott und IHG (Holiday Inn und Crown Plaza). Gebaut aus einem Arduino-Mikrocontroller und mit Materialkosten unter 50 US-Dollar, kann das Tool von jedem nachgebaut werden, der über etwas handwerkliches Geschick und ein paar Programmierkenntnisse verfügt. Gesagt, getan: Es liegt mindestens ein Fall vor, demzufolge mit einem ähnlichen Tool in verschiedene Hotelzimmer in Texas eingebrochen wurde.

Noch erschreckender als der geringe Aufwand für einen Einbruch war aber die Stellungnahme von Onity zu eben diesem Problem: "Einfach einen Stopfen über den Port stülpen und die Schrauben austauschen." Dann entschied sich die Firma aber doch, eine echte Lösung für das Problem anzubieten, die unter anderem den Austausch der Grundplatinen in den Türschlössern vorsah - die Kosten dafür wollte Onity jedoch nicht übernehmen. Nach den Einbrüchen in texanischen Hotels wurde bis zum 30. November 2012 bei gerade einmal 1,4 Millionen Schlössern in Hotels weltweit nachgebessert - hauptsächlich mit der eher fragwürdigen Plastikstopfen-Lösung. Die Gefahr eines Einbruchs bei Onity-Hoteltüren besteht also nach wie vor.

Die Menge macht's

Das Jahr 2012 verzichtete weitestgehend auf massive Datenbankdiebstähle im Stil des Playstation-Network-Zusammenbruchs von 2011. Doch mehrere Serien kleinerer Einbrüche sorgten vor allem im Frühjahr und Sommer für Ärger. Am berüchtigsten wurde dabei die Veröffentlichung von 6,5 Millionen gestohlener LinkedIn-Passwörter , dicht gefolgt von 1,5 Millionen entwendeter eHarmony-Passwörter, 450.000 geklauter Login-Daten von Yahoo Voice , einer unbestimmten Anzahl gestohlener Last-fm-Passwörter und die Offenlegung kompletter Login- und Profildaten von hunderten Nutzern des Nvidia-Forums . Man könnte diese Liste für 2012 übrigens durchaus noch weiter führen, doch belassen wir es fürs erste bei diesen Desastern.

Was lernen wir daraus? Vertrauen Sie niemals darauf, dass eine Webseite Ihre Passwörter und Zugangsdaten geheim hält. Benutzen Sie daher verschiedene Passwörter für verschiedene Webseiten und minimieren Sie so selbst die Gefahr eines Mehrfach-Hacks, wenn Datendiebe eines Ihrer Online-Nutzerkonten knacken.

Mittwoch, 16.01.2013 | 11:17 von Brad Chacos
Kommentieren Kommentare zu diesem Artikel (0)
1667507