1964267

Die größten Sicherheits-Desaster des Jahres 2014

09.07.2014 | 10:04 Uhr |

Das Jahr 2014 ist erst zur Hälfte vorüber. Doch in Sachen Online-Sicherheit ist es bereits jetzt ein Desasterjahr. Wir stellen die größten bisherigen Sicherheits-Pannen des Jahres 2014 vor. Und das Jahr ist ja noch lang...

Was für ein Jahr 2014: Wir haben Hackerangriffe auf große Online-Plattformen wie eBay erlebt. Mindestens fünf Millionen Kreditkartendaten sind derzeit gefährdet und viele Online-Accounts geknackt. Bei vielen Servern "blutete das Herz". Obendrein stellten die Entwickler von Truecrypt ihre Arbeit ein. Grund genug für uns die zehn größten Sicherheitsprobleme des Jahres 2014 bis dato vorzustellen.

Heartbleed lässt das Internet bluten

Die Webmaster und Sicherheitsverantwortlichen von einigen der weltweit größten Webseiten wurden im April nervös, als ein Fehler in OpenSSL bekannt wurde – mit OpenSSL wurde und wird die Online-Kommunikation abgesichert (HTTPS-Webseiten). Dieser als Heartbleed bezeichnete Bug führte dazu, dass Nutzernamen, Passwörter, persönliche Daten und sogar SSL-Schlüssel, welche die Webseiten verwenden, in fremde Hände gelangen konnten. Das Problem war weit verbreitet: Zu den betroffenen Webseiten gehörten unter anderem Instagram, Netflix und Tumblr.

Heartbleed inspirierte aber auch viele große Technikunternehmen dazu bisher wenig unterstützte Open-Source-Projekte zu sponsern. Die erste Gruppe, welche Hilfestellung bekam, war die OpenSSL Software Foundation.

Die Entwickler des beliebten Verschlüsselungsprogramms TrueCrypt warfen das Handtuch.
Vergrößern Die Entwickler des beliebten Verschlüsselungsprogramms TrueCrypt warfen das Handtuch.
© iStockphoto/SchulteProductions

TrueCrypt schließt die Pforten

Ende Mai waren die Nutzer von TrueCrypt geschockt , weil sie plötzlich von der Seite des Verschlüsselungsdienstes auf die SourceForge Seite des Projekts weitergelitet wurden. Dort war folgende Nachricht zu lesen: „Warnung: Die Nutzung von TrueCrypt ist nicht sicher, da unbehobene Sicherheitsmängel vorliegen.“

Auf den ersten Blick wirkte es wie ein Scherz oder ein Hack, weil TrueCrypts Empfehlung auf Microsofts Closed-Source-Verschlüsselungstool Bitlocker zu wechseln ganz und gar nicht zu TrueCrypts Idealen passte. Doch TrueCrypts Dahinscheiden bewahrheitete sich. Es gibt Versuche das Projekt unter einem neuen Management wieder aufzubauen . Auch Gerüchte über versteckte Botschaften der TrueCrypt Entwickler machen die Runde. Bisherigen Truecrypt-Anwendern bleibt nur auf zuverlässige Alternativen wie den PC Welt Datensafe auszuweichen.

Immer mehr Lücken

Ebay räumte im Mai eine verheerende Datenpanne ein, welche Namen, Email- und Wohnadressen, Telefonnummern, Geburtsdaten und verschlüsselte Passwörter betraf. Ungefähr 145 Millionen Nutzer waren betroffen.

Die Hobby-Verkaufsplattform Michaels wurde ebenfalls Opfer einer Attacke, ebenso AOL, Avasts Online-Foren, die Hotelketten Marriott und Holiday Inn und Neiman Marcus. Zudem wurden weitere 360 Millionen Nutzernamen und Passwörter im Februar in Hackerforen veröffentlicht.

LaCie

Manchmal muss eine Sicherheitslücke gesondert betrachtet werden – wie der Hack im April von LaCie , das im Besitz von Seagate ist. LaCie räumte ein, dass er Opfer eines fast ein Jahr andauernden Datendiebstahls geworden ist. Vom 27. März 2013 bis 10. März 2014. LaCie ist sich nicht darüber sicher welche Art von Daten gestohlen wurden, aber es könnte sich um Kundennamen, Mailadressen, Kreditkartennummern und Karten-Ablaufdaten handeln.

Ransomware breitet sich aus

Wenn 2013 das Jahr der persönlichen Datenlücken war, dann ist 2014 auf bestem Weg, das Jahr der digitalen Geiselnahme durch Ransomware zu werden. Bösartige Software, die Ihnen droht Ihren PC zu schädigen, falls Sie nicht einen gewisses Schutzgeld bezahlen, ist eine alte Geschichte, aber Hacker erhöhten den Einsatz Anfang 2014. Ende Mai, wurden die iGeräte vieler iOS-Nutzer, mit Hilfe des Apple-eigenen Find My iPhone Dienstes gesperrt und Hacker verlangten für die Wiederherstellung Geld. Im Juni fand die Sicherheitsfirma ESET das erste Beispiel für Daten-verschlüsselnde Ransomware auf Android-Geräten. Seiten wie die der Projektmanagement Web-App Basecamp wurden ebenfalls zur Zahlung eines Lösegeldes erpresst, damit die Hacker die Angriffe unterließen.

Die GnuTu-Lücke

Heartbleed war 2014 nicht der einzige bedeutende SSL/TLS-Fehler. Im Februar und März haben sowohl Apple als auch die Linux-Community mit der Behebung einiger Fehler in deren Online-Sicherheitsprotokollen kämpfen müssen. Im Fall von Apple, hat jemand fälschlicherweise einen zusätzlichen „goto Fehler“ eingebaut, welcher verschlüsselte Daten über SSL/TLS für die Nutzung von Hackern offen ließ.

Im Fall von Linux hatte die GnuTLS-Library einen Programmierfehler, welcher Nutzerdaten in potentiellen Lücken offenlegte, ähnlich wie bei Apples „goto Fehler“. Allerdings wird bei dem GnuTLS-Fehler vermutet, dass dieser bereits seit über zehn Jahren existierte.

Durch "Transaction Malleability" war es Angreifern möglich, Währungstransfers auf deren Konten umzuleiten.
Vergrößern Durch "Transaction Malleability" war es Angreifern möglich, Währungstransfers auf deren Konten umzuleiten.
© iStockphoto.com/Dorottya_Mathe

Anfälliges Bitcoin

Die Sicherheit von Bitcoins erlitt im Februar einen Dämpfer: Ein Fehler, welcher „transaction malleability“ genannt wurde, führte zu Angriffen auf einige Bitcoin-Transfers. Der Fehler machte es Angreifern möglich eine korrekte Transaktion durch eine gefälschte Transaktion zu ersetzen, welche die Bitcoins an den Angreifer anstatt an den vorgesehenen Empfänger weiterleitete.

Doch es blieb nicht bei diesem einen Problem. Die Bitcoin-Börse Mt. Gox musste sogar komplett schließen . Der mysteriöse Fall um verschwundene und teilweise wieder gefundene Bitcoins ist bis heute nicht geklärt. Das Problem mit Transaction malleability wurde dagegen im März behoben.

Outlook.com-Schnüffler

NSA-Mitarbeiter sind nicht die einzigen, die Ihr Outlook-Postfach durchstöbern können. Microsoft könnte auch einen Blick darauf werfen … zumindest falls Sie etwas Verwerfliches vorhaben. Im März gestand Microsoft ein die persönlichen Mails eines Bloggers durchsucht zu haben. Weil Microsoft dafür Beweise suchte, dass ein Mitarbeiter Firmeninterna an den Blogger weitergereicht hatte. (Danach änderte Microsoft seine Datenschutzerklärungen).

Daraus lernt man: Ihre Mails kann immer jemand mitlesen. Zumindest so lange diese nicht verschlüsselt sind.

Dieser Artikel stammt von unserer Schwesterpublikation PC-World.

 

 

 

0 Kommentare zu diesem Artikel
1964267