Dipl.-Inform. Carsten Eilers

Ein sichereres Passwort schützt in genau zwei Fällen vor einem Angriff:

1. Bei einem Brute-Force- oder Wörterbuchangriff auf das Benutzerkonto verhindert es, dass das Passwort erraten wird.
2. Wenn bei einem Serverbetreiber die Datenbank mit den gehashten Passwörtern kopiert wird, hängt die Sicherheit der Passwörter in erster Linie von der verwendeten Hashfunktion ab. Normale Hashfunktionen lassen sich effektiv berechnen und dadurch lassen sich auch die (oder genauer: zum eigentlichen Passwort äquivalente) Passwörter aus den Hashwerten ermitteln. Ein möglichst langes Passwort wird dann etwas später gebrochen als ein kurzes, und mit viel Glück sind die Angreifer mit der Ausbeute zufrieden bevor, sie die langen Passwörter berechnet haben und hören mit dem "knacken" auf. Wird eine der speziell für die Speicherung von Passwörtern entworfenen Hashfunktionen verwendet, ist die Qualität des Passworts aber nebensächlich.

Wenn ein Botnet oder allgemein Spyware Zugangsdaten einsammelt, ist es total egal, wie gut oder schlecht das Passwort ist. Das wird auf dem Rechner des Benutzers ausgespäht, zum Beispiel wenn er es irgendwo ein gibt. Das klappt mit den Klassikern wie "passwort", "12345678" oder ähnlichen genau so gut wie mit komplizierten Konstruktionen wie "q4F+j-flc" und dergleichen.

"Die Internetanbieter müssen die Daten besser schützen"

Prinzipiell unterstütze ich diese äußerst sinnvolle Forderung. Falls die Daten wie beim letzten Mal aber von Botnets gesammelt wurden, können die Internetanbieter (welche eigentlich? ISP? Hoster? Alle, das was im Internet anbieten?) überhaupt nichts dagegen tun. Bei einem Botnet sind nur die Betroffenen selbst schuld. Die haben sich ihren Rechner mit der Schadsoftware infizieren und danach ihre Daten "stehlen" lassen.

Auch Strafen für Anbieter, bei denen Daten "gestohlen" werden, könnten hilfreich sein (diese Forderung wird sicher auch bald wieder kommen). Dabei muss man aber sehr genau aufpassen, damit man niemanden bestraft, der alles zweckmäßigerweise Mögliche für den Schutz der Daten getan hat. Der Gesetzgeber schießt im IT-Bereich ja gerne mal übers Ziel hinaus und ich würde mich nicht wundern, wenn am Ende ein Gesetz entsteht, bei dem die Anbieter bestraft werden, obwohl sie alle machbaren Schutzmaßnahmen ergriffen haben. Das Internet in ein rechtliches Minenfeld zu verwandeln scheint ja eine der Lieblingsbeschäftigungen unserer Politiker zu sein.

Was kann, was muss man jetzt machen?

Erst mal: Abwarten und die Ruhe bewahren. Heute (Montag, 7.4.) will das BSI zusammen mit den großen E-Mail-Providern die Opfer informieren. Jedenfalls 70% davon, der Rest darf weiter rätseln.

Nachtrag von 10:45:
Das BSI hat reagiert: Kunden von Deutscher Telekom, Freenet, gmx.de, Kabel Deutschland, Vodafone und web.de werden von ihren Providern informiert, alle anderen sollen wieder den aus dem Januar bekannten Test machen. Auch Betreiber eigener Webserver. Da es um E-Mail-Adressen geht meinen die wohl eher Mailserver. Besonders hilfreich ist das nicht. Soll ich jetzt wirklich anfangen, alle tausend und mehr Mailadressen meiner Domains da ein zu tippen? Das kann es ja wohl nicht sein. Also: Mal wieder als Löwe gestartet und als Bettvorleger gelandet.

Warum werden die Betroffenen nicht vom BSI per Mail informiert - weil man die BSI-Mails fälschen könnte? Das kann man auch mit den Mails von Telekom, Freenet usw.. Wetten, dass das in Kürze passiert? Und genauso für Mail-Provider, die hier nicht aufgeführt sind? Natürlich immer verbunden mit dem Hinweis, dass man seine Daten auf einer Phishing-Seite prüfen lassen muss.

Oder gibt es angebliche Datenschutzgründe? Welche sollten das sein? Was hat es mit dem Datenschutz zu tun, wenn das BSI Mails an Adressen schickt, die man ja sowieso schon hat? Das könnte man höchstens als Spammen auslegen, und vielleicht findet sich auch der eine oder andere Anwalt, der dem BSI wegen der unverlangt zugesandten Mail eine Abmahnung schickt. Aber denn wird man sicher irgendwie Herr werden können. Es ist jedenfalls kein Grund, die Betroffenen nicht direkt zu informieren.

Das ist wirklich mal wieder ein Glanzleistung. Ich bin hellauf begeistert! Aber das haben Sie wohl schon gemerkt.
Ende des Nachtrags von 10:45

Wenn Sie betroffen sind, müssen Sie alle Passwörter ändern. Und zwar wirklich alle, denn wer weiß schon, ob die Staatsanwaltschaft Verden wirklich alle Adressen ermittelt hat. Wenn nur eine einzige Ihrer Adressen betroffen ist, sollten Sie davon ausgehen, dass auch alle anderen betroffen sind. Jedenfalls wenn wieder ein Botnet für die Datensammlung verantwortlich ist. Falls "nur" die Datenbank eines Websitebetreibers kopiert wurde sind natürlich nur die dafür verwendeten E-Mail-Adressen und Passwörter betroffen. Aber bei der großen Anzahl Daten würde ich von einem oder mehreren Botnet(s) ausgehen.

Verwenden Sie ein sichereres Passwort. Und zwar nicht eins für alle Dienste, Webseiten und was es sonst noch so gibt, sondern für jeden Dienst, jede Webseite etc. jeweils ein eigenes.

Wenn die Daten von einem Botnet stammen, müssen sie zuvor aber den wahrscheinlich auf ihrem System installierten Schädling los werden. Sonst sammelt der die neuen Passwörter gleich wieder ein und das Spiel geht von vorne los. Vermutlich wird das BSI hierzu noch Stellung nehmen und dann auch entsprechende Anleitungen bereit stellen oder verlinken.

Sichern Sie ihren Rechner und ihre Benutzerkonten

Eigentlich ist aber gar nicht wichtig, wer betroffen ist. Denn die nötigen und möglichen Schutzmaßnahmen, die das BSI ja bereits aufgeführt hat, kann und muss jeder ergreifen. Also:

• Halten Sie ihr System und die Anwendungen aktuell.
• Installieren Sie nur die Software, die sie wirklich brauchen. Das gilt insbesondere für die PlugIns der Webbrowser. Was nicht da ist, kann auch nicht angegriffen werden.
• Installieren Sie einen Virenscanner (und hoffen Sie, das der alle Angriffe erkennt).
• Nutzen Sie in WLANs nur die sichere WPA2-Verschlüsselung.
• Meiden Sie offene WLANs und verwenden sie dort, wenn Sie sie denn nutzen müssen, möglichst nur über SSL/TLS geschützte Verbindungen (also zum Beispiel HTTPS statt HTTP für Webseiten).
• Verwenden Sie sichere Passwörter (s.o.) und wechseln sie die von Zeit zu Zeit. Falls dann mal ein Passwort irgendwo ausgespäht wird, ist es zumindest nicht all zu lange gültig.
• Beachten Sie auch die weiteren Ratschläge des BSI.

Carsten Eilers