Gerade mal zwei Wochen ist es her, als der Hackerangriff auf Politiker und prominente Personen bekannt wurde. Persönliche Daten, Kreditkarteninformationen, Chats und Links zu den Leaks wurden über Twitter veröffentlicht. Und zwei Wochen später – die Doxing-Debatte war noch in vollem Gang – kommt schon die nächste Meldung.  Im Netz wurde die sogenannte „Collection #1“ entdeckt – ein Datensatz mit Millionen gestohlener E-Mail-Adressen und Passwörter. War ich bei der ersten Meldung noch nicht sehr beunruhigt – ich bin ja weder Politiker noch Promi 😉 – wollte ich dann doch lieber mal schauen, ob ich – in Bezug auf meine privaten Accounts und Devices – auch betroffen bin. Unter der Internetadresse „;–have I been pwned“ kann man dies recht schnell anhand der eigenen Mailadresse prüfen. Besser noch gefällt mir die Seite des Hasso-Plattner-Instituts, der „Identity Leak Checker“. Hier kann man zusätzlich sehen, wann und über welchen Anbieter die Daten geleaked sind. Und bei mir war das gleich mehrfach der Fall – auch, wenn es schon lange zurück lag und die Passwörter inzwischen ohnehin geändert sind. Die betroffenen Services waren u.a. Dropbox, der Link-Shortener bit.ly und die Plattform MySpace. In allen Fällen handelte es sich um die Mailadresse und das Passwort. #nichtSchön!

Ich nahm mir die Warnung von Linus Neumann vom Chaos Computer Club zu Herzen, worin er betont:

„Es gibt keine Ausreden mehr. Jeder, der nichts für seine Sicherheit macht, handelt fahrlässig und geht ein Risiko ein.“

https://www.tagesschau.de/ausland/internet-sicherheit-cybercrime-101.html

Und nun?

Passwortmanager?

„Ernsthafte Sorgen“ musste ich mir ja nicht wirklich machen, denn ich nutze natürlich unterschiedliche Passwörter für verschiedene Accounts. Die benutzte Mailadresse ist aber gleich. Und ja, die Passwörter sind zwar „sicher“, beinhalten einen Mix aus Zahlen, Sonderzeichen und Buchstaben in Groß- und Kleinschreibung, aber es gibt bei gleicher Mailadresse, manchmal vielleicht auch geringe Ähnlichkeiten der Passwörter und auf jeden Fall das daraus und aus dem Leak resultierende „ungute Gefühl“.

Das muss geändert werden! Den Vorsatz „das wollte ich ohnehin schon immer mal machen!“ – ja, den kennt ihr bestimmt auch. Aber wie soll man sich komplett unterschiedliche, lange und sichere Passwörter merken und diese schnell verfügbar machen? Die Antwort, die mir einfiel war: Natürlich mit einem Passwortmanager. Ich erinnerte mich, neulich einen Artikel bei Netzpolitik.org zum Thema gelesen zu haben: Also schnell „hervorgekramt“.

Eine Testübersicht zu unterschiedlichen Apps – denn ich möchte den Passwortmanager ja auf meinem Smartphone immer dabei haben – war auch schnell zur Hand. Was mir zunächst als „die Lösung“ erschien, zeigte sich mir bei längerer Überlegung als nicht passend für mich. Ich möchte ein Passwort auf all meinen Devices direkt verfügbar, aber im Passwortmanager gespeichert haben. Dazu bietet sich aber nur der Weg über einen Clouddienst – und in den meisten Fällen über den Clouddienst, eines (kommerziellen) Passwortmanagers – über dessen Sicherheit, Standort, etc. ich nichts weiß. Und nun?

Schlüsselbund

Als Apple-User entschied ich mich für das systemeigene Angebot, den „Schlüsselbund“. Wenn man seine Passwörter neu vergibt, oder, wie in meinem Fall ändern will, schlägt einem das System im Browser automatisch ein langes, sicheres Passwort vor, das auch gleich zur Bestätigung in beide dafür vorgesehenen Passwortfelder eingetragen wird.

Das neue (oder geänderte) Passwort wird dann sogleich im Browser automatisch gespeichert und per Cloud auf allen per Cloud verbundenen Geräten übertragen. In meinem Fall änderte ich die Passwörter am Rechner im Browser und hatte diese geänderten Passwörter dann sofort auch auf dem Smartphone (und dort auch in den entsprechenden Apps) zur Verfügung. Das funktionierte in den meisten Fällen sehr gut. Manchmal bedurfte es ein wenig manueller Nachhilfe. Der Vorteil: Die Passwörter sind alle unterschiedlich, in der Cloud hochverschlüsselt und ich muss mir nur ein einziges (in meinem Fall – und in eurem Fall sollte das auch so sein) dann sicheres und kompliziertes Passwort für den Schlüsselbund und den dahinter liegenden Account merken. Dazu kommt selbstverständlich die Absicherung der Devices (PC, Laptop, Tablet, Smartphone) mit einer langen PIN bzw. Passwort und/oder Touch- bzw. Face-ID. Ab sofort werden ich dann die Passwörter auch sehr regelmäßig ändern. Einfach immer mal wieder, wenn ich mich bei dem ein oder anderen Dienst zur Nutzung einlogge. Und dieses Vorgehen werde ich mir zur Routine machen. Die neuen Passwörter werden dann ja wieder auf allen Devices verfügbar gemacht. Ich bin mir ziemlich sicher, dass dieser Systemdienst auch auf anderen Betriebssystemen zur Verfügung steht. Das solltet ihr unbedingt prüfen und ausprobieren. Die Sicherheit der dahinterliegende Cloud müsst ihr allerdings genau hinterfragen. Oder ihr geht den Weg über einen Passwortmanager, der nur lokal speichert.

2 Faktor Authentifizierung

Als zusätzliche Sicherheitsmaßnahme habe ich dann auch noch überall dort, wo es angeboten wird – und das ist mittlerweile fast überall, die sogenannte „2 Faktor Authentifizierung“ aktiviert. Bei den wichtigsten Diensten war das bei mir ohnehin schon der Fall. Diese Form der Authentifizierung verlangt immer, dass bei einem neuen Login-Versuch, dieser auf einem anderen, unabhängigen Device, das sich in Deinem Besitz befindet, autorisiert wird. Dies geschieht meist durch die dortige Anzeige eines Codes, der dann am Gerät, an dem Du Dich einloggen willst eingegeben werden muss. Oder aber, Du musst in einer mobilen App auf Deinem Smartphone den Login auf Deinem PC freigeben, z.B. durch tippen auf eine Checkbox o.ä.

Wachsam bleiben

Die meisten Dienste benachrichtigen Dich sofort per Mail, wenn es neue Logins, Kaufvorgänge, Transaktionen, Passwortänderungen gibt. Dies solltest Du unbedingt (!) ernst nehmen. In der Mail steht immer, was gerade geschehen ist. Nimm Dir Zeit, lies es genau, prüfe auch die Mail, ob es kein Fake ist, also ob Du in der Mail namentlich genannt bist (in einem Fake oft nicht der Fall) und ob die Rechtschreibung korrekt ist etc. Wenn Du aber sicher bist, dass die Mail kein Fake ist und Du die Passwortänderung, Transaktion, Login, etc. nicht selbst durchgeführt hast, dann handele sofort. Meist kannst Du in der Mail auf einen Link klicken, um die Änderung rückgängig zu machen. Oder Du loggst Dich eben ein und änderst sofort Dein Passwort, machst den Kauf oder die Transaktion rückgängig oder kontaktierst den Support. Handeln ist angesagt!

Apropos Mail, Link oder Anhang: Dies ist erfahrungsgemäß die Hauptursache, dass Passwörter geleaked werden. Man erhält eine Mail mit dringendem, drastischem und besorgniserregendem Inhalt: „Sie haben Produkt XY gekauft. Die Rechnung über 22.000 Dollar hängt an. Bitte lesen Sie den Anhang“. Oder auch: „Ihr Konto wurde gehackt. Bitte klicken Sie auf den Link in der Mail und geben Sie ihr Passwort ein, damit wir es wieder herstellen können.“ Öffnet man in diesem Fall den Anhang, installiert man mit Sicherheit einen Trojaner, der dann in Zukunft alle Passworteingaben mitliest und an Dritte übermittelt. Klickt man auf den Link, der Rettung verspricht, liefert man sein korrektes Passwort an unbekannte Personen weiter, die es dann nutzen können.

Es ist auch auf keinen Fall ratsam, nach Diensten wie Facebook, Banken, Onlineshops zu googeln bei denen man registriert ist und dann seine Logindaten einzugeben. Sehr einfach kann man dann, auf Fakeseiten gelangen, die den gesuchten Seiten sehr ähnlich sehen, aber nur dazu da sind, die Logindaten abzugreifen. Lieber direkt die jeweilige Adresse in die Adresszeile des Browsers eingeben und dann als Bookmark speichern, um sie in Zukunft direkt aufzurufen. Und in jedem Fall die Seite, auf der man seine Daten eingibt genau kontrollieren: Ist sie wirklich echt? Gibt es ein Impressum? Steht der Name der Seite auch in der Domainangabe in der Adresszeile des Browsers? Endet die Domain auf „de“, wenn der Anbieter offensichtlich in Deutschland ist?

Updates

Um Deine Systeme und Software sicher zu machen und sicher zu halten, solltest Du immer aktuelle Updates einspielen. Damit reagieren die Hersteller auf bekannt gewordene Sicherheitslücken etc. Updates sind heute auf den meisten Systemen kein Problem und gehen mehr oder weniger automatisch. Oft kannst Du auch einstellen, dass sie über Nacht, wenn das Gerät, also z.B. das Smartphone am Ladeteil hängt, selbstständig durchgeführt werden.

tl;dr

Das Wichtigste in Kürze zusammengefasst:

1. Nutze unterschiedliche Passwörter für jeden einzelnen Dienst
2. Nutze sichere Passwörter
3. Ändere Deine Passwörter regelmäßig
4. Sichere Deine Passwörter in einem Passwortmanager Deines Vertrauens oder dem systemeigenen Schlüsselbund – wenn dieser mit einem sehr sicheren Passwort geschützt ist.
5. Reagiere bedacht aber unverzüglich, wenn Dir etwas komisch vorkommt. Hole Dir ggf. Hilfe (bei einem „Experten“ aus Deinem Umfeld, dem Support oder auch im Netz)
6. Kontrolliere die Seiten genau, auf denen Du Deine Daten eingibst.
7. Niemand wird Dich jemals zur Eingabe Deines Passworts über einen Link auffordern, um „einen Hack zu beseitigen“.
8. Führe regelmäßig Updates Deiner Systeme durch.