Datenklau und Passwörter

Nun macht es wieder die Runde, weil das BSI auf zig Millionen gehackte Accounts gestossen ist. Ich will da im Detail gar nicht drauf eingehen, das machen schon andere. Mich wundert nur, was für Tipps die herbeigepfiffenen Experten in den Medien nun geben:

Achten Sie darauf, nur sichere Passwörter zu verwenden, möglichst lang und mit Sonderzeichen und blubb…

Der Haken ist aber: Dafür ist es zu spät, Leute! Es sind bereits einige Millionen Mail-Accounts gekapert (und vermutlich sind es noch viel mehr als die, wo von das BSI weiss). Ausserdem muss das gar nicht sein, denn schon allein die Möglichkeit, dass ein Passwort so kompliziert sein kann, zwingt potentielle Hacker, aufwendig an die Sache heran zu gehen, egal wie simpel das „wahre“ Passwort ist. Es muss ja nicht gerade Passwort oder 123456 als Passwort sein, da reicht schon meinPenishat22cm. Das ist quasi unerratbar (ausser vielleicht von einem kleinen Kreis Frauen, aber alle bösen Hacker sind ja eh‘ männlichen Geschlechts) und wenn die eigene Prachtlatte (auch ein schönes Passwort) gar zehn Zoll erreicht, dann kann man hinter das Passwort auch ein Ausrufezeichen setzen, so hat man gleich das von den „Experten“ geforderte Sonderzeichen.

Und überhaupt werden solche Accounts ja meist gar nicht gehackt in dem das Passwort erraten wird, sondern die Leute bekommen Mails mit einem Betreff wie „Hier meine Nacktbilder“ oder „Achtung – Kontoprobleme“ und klicken wild auf jeden Link in der Mail (das klappt auch bei NSA-Mitarbeitern und Mailserver-Admins!). Auch wenn sie gar kein Postbank-Konto haben und kein sensibles Bildmaterial per E-Mail erwarten. Und ruckzuck haben die Personen irgendeine Schadsoftware auf ihren Rechner geladen, der die Tastatureingaben mitloggt, egal, wie kniffelig das gewählte Passwort für was auch immer gewählt wurde. Oder ganz simpel geben die Menschen ihre Daten in eine Webseite ein, die wie ein Formular aussieht. Eine kryptische Seiten-Adresse wie http://vhack0r.gehacktewebsite.net/zpQmWQ9YWorcPH5TAgseJaQs0Kc/4kaPwsC0wBw5FDKC3bSLfXOa.html stört einen da keineswegs. Und das geht sogar Systemübergreifend. Da muss man kein Windows XY  haben, so ein Fake-Formular geht dann auch mit Safari unter OSX am Mac oder PearPC oder xMosaik unter OpenBSD. Wenn der User nur will. Aber das mit den doofen URLs haben sich die „seriösen“ Seitenbetreiber auch selbst zuzuschreiben

Tatsache ist: Wenn nur jeder „Internet-Neuling“ einmal auf so was reinfällt, dann kommen da genug Accounts zusammen. Und man kann den Menschen noch nicht mal einen Vorwurf machen. Woher sollen die das alles wissen? Einen Internet-Führerschein gibt es nicht und Online-gehen ist dermassen einfach, dass es schon fast eine Schande ist, dass es Firmen gibt, die damit Geld verdienen, anderen Menschen so was einzurichten. Als ich seinerzeit online ging, da musste man noch schauen, auf welchem Com-Port welcher serielle Anschluss läuft, ob es für das (Postzugelassene!) Modem (nach der DBT-03 für BTX war ein 9.6K-Modem mein erstes und wiiieee langsam das ist muss jeder Interessierte selber rausfinden) einen Treiber gibt und überhaupt ging Telefon nicht wenn man im Internet war und jede Minute bezahlte man sauviel Geld und überall gab es extra Software mit speziellen Protokollen und Country-Codes usw. In den Anfängen von DSL war es für jeden Freak ein „muss“, die Schlabbach-Treiber zu verwenden, Windows95 wusste noch gar nix vom Internet und erst gab es zu viel IP-Adressen und dann zu wenig und wer richtig Hipp war der hat sich mit einem alten 386er (Angeber und Protzer nahmen einen 486er mit zwei  NE2000-kompatiblen Netzwerkkarten, boah) einen FLI4L-Router eingerichtet.

Heute? Da schliesst man seinen Router (eher Home-Gateway) an die Buchse des IP-Anschlusses an, bestätigt (im komplizierten Fall) die automatische Konfiguration mit seinen Zugangsdaten und ist nicht nur online, sondern hat auf einmal TV in HD und 3D, kann in HDVoice auf mehreren Leitungen telefonieren, jeder zeitgemässe Rechner hat sofort eine IP, ein Gateway und DNS zugewiesen und will schon Updates machen, bevor man seine Spam-Mails zu ende gelesen hat. Und mit dem Smartphone ist es sogar noch einfacher, online zu gehen (ich mag gar nicht schreiben, was für Verbiegungen man noch vor ein paar Jahren machen musste, um mobil online zu sein).

Ja, der digitale Fortschritt ist schon ein Segen. Leider eben auch für solch schlechte Menschen, die einem das Geld klauen wollen. Und das kann auch das BSI nicht verhindern.

2 Gedanken zu „Datenklau und Passwörter“

  1. Moin Holger,

    da meld ich mich dann auch mal wieder zu Wort.
    Schöner Text und inhaltlich auch richtig (22cm unterstell ich jetzt mal ungeprüft) aber… leider … sind die 18 Mio Adressen diesmal wohl etwas anders zusammengekommen als nur durch Dummheit auf Layer8.
    Warum?
    Weil ich selber auch betroffen war… jedenfalls laut BSI. Spührbare Auswirkungen hatte das nicht aber gewundert hab ich mich dann doch.
    Man kann mir ja vieles nachsachen aber als Berufsparanoiker bin ich sicherlich nie auf eine Phishingmail reingefallen, auch Frau Nuang die mir 11,8 Mio Doller schenken möchte beisst bei mir auf Granit 😉
    Hier sehe ich doch eher etwas „Herzblut“ das vergossen wurde.
    … und wo arbeitet der Kerl der es programmiert hat?
    fängt mit T- an und hört mit stems auf 😉

    So long!

  2. Da bist du doch glatt in meinem Spam-Filter gelandet und ich habs erst jetzt bemerkt. Sorry!
    Könnte einem zu denken geben… aber nur, wenn man Paranoiker ist 😉

    Und ganz ehrlich: Um dich die 22cm prüfen zu lassen, bist du mir nicht hübsch genug…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.