„Wer sicher sein will, muss sich selbst schützen“

Glauben Sie daran, dass es wirklich ein Schüler war, der massenhaft Daten von Prominenten und Politikern gehackt hat und als Twitter-Adventskalender der Öffentlichkeit präsentierte?

Bei der Vernehmung konnte der Beschuldigte nicht einmal eine Zwei-Faktor-Authentifizierung umgehen, was jedoch nach Kenntnissen der Behörden Bestandteil des Angriffes war. Wahrscheinlicher ist, dass mehrere Hacker an dem Angriff beteiligt waren, und die endgültige Wahrheit wohl im Dunkeln bleibt. Es ist einfach extrem schwer, die wahren Täter zu fassen und die Verhinderung solcher Angriffe ist von Seiten des Staates und der Behörden nahezu unmöglich. Wer sicher sein will, muss sich selbst schützen. Aber welcher Schutz ist der richtige?

Da sind zunächst einmal die Passwörter – immer wieder wird davor gewarnt, zu einfache Passwörter zu verwenden oder achtlos mit ihnen umzugehen. Dazu gibt es auch schon seit Jahren eine BSI-Richtlinie, die man problemlos im Internet finden kann. Dennoch muss man wieder verwundert lesen, dass 123456 immer noch das am meisten verwendete Passwort ist – wie kann das sein? Das Problem ergibt sich wahrscheinlich genau aus den Empfehlungen des BSI, denn ein Passwort soll komplex sein und verschiedenen Zeichenformen beinhalten. Damit wird es aber schwer, sie auswendig zu lernen, zumal man heutzutage viele verschiedene benötigt. Man muss sie also irgendwo aufschreiben, womit dann aber das nächste Problem beginnt. Wie sorge ich dafür, dass die Passwörter zwar verfügbar sind, wenn man sie braucht, jedoch nicht von Dritten entwendet werden können? Moderne Passwort-Manager können hier Abhilfe schaffen. Sie funktionieren wie ein Safe auf dem Rechner oder in der Cloud. Man muss sich nur ein Passwort merken, mit dem man den Safe öffnen kann. Alle anderen Passwörter befinden sich sicher verschlüsselt im Passwort-Manager.

Die zweite Sicherheitsmaßnahme, die immer wieder angesprochen wird, ist die Verschlüsselung. Sie verhindert zwar nicht, dass Daten gestohlen werden, aber sie machen sie immerhin für den Datendieb unbrauchbar. Der Aufwand, moderne Verschlüsselungscodes zu knacken, ist für den 08/15-Hacker viel zu hoch. Dennoch kommt Verschlüsselung viel zu selten zum Einsatz – das betrifft sowohl den Privat- als auch den Geschäftsbereich. Aber warum eigentlich? Hier spielt wohl die Bequemlichkeit des Menschen eine große Rolle. Die am weitesten verbreitete Verschlüsselungsmethode ist die Container-Verschlüsselung. Sie macht es nötig, einen Container zu definieren, anzulegen und ein Passwort dafür zu generieren. Alle Daten, die in den Container gelegt werden, werden verschlüsselt. Werden sie wieder gebraucht, muss man den Container jedes Mal mit Hilfe des Passworts öffnen. Das bedeutet, dass zusätzliche lästige Arbeitsschritte nötig sind, und zwar jedes Mal, wenn man Daten verschlüsseln oder entschlüsseln will. Und zusätzliche Passwörter kommen auch wieder zur Sammlung hinzu. Aber wenn es doch ratsam ist, sowieso alles zu verschlüsseln, warum braucht es dann den Container? Warum verschlüsselt man nicht alle Daten einfach beim ganz normalen Speichervorgang? Dateibasierte Verschlüsselungslösungen oder auch „On-the-fly Verschlüsselung“ machen genau das, ohne dass zusätzliche Arbeitsschritte nötig sind. Man identifiziert sich einmal und die Daten sind immer zugriffsbereit. Verwendet man dazu noch eine Zwei-Faktor-Authentifizierung, ist man künftig richtig sicher. Durch die einfache Handhabung sind sie sowohl für private als auch für geschäftliche IT-Nutzer empfehlenswert. Für geschäftlich genutzte Daten kommt außerdem hinzu, dass die EU-DSGVO die Verschlüsselung personenbezogener Daten vorschreibt – dieses Problem wäre also auch gleich mitgelöst.
Im Geschäftsbereich kommt noch ein dritter wichtiger Grundsatz dazu. Es gilt die Vorgabe, dass nur ein gemanagter Rechner ein sicherer Rechner ist. Alle geschäftlichen IT-Devices gehören zwingend ins Netzwerk- und Sicherheitsmanagement des Unternehmens. Am sichersten sind Unternehmen und Organisationen, wenn sie eine Lösung einsetzen, die Management und Sicherheit aller Endpoints aus einer Hand bietet.

Weitere Informationen unter:
www.matrix42.de

Über den Autor:
Ein Statement von Sergej Schlotthauer, VP Security bei Matrix42, zum Politiker- und Promi-Hack

Ein Statement von Sergej Schlotthauer, VP Security bei Matrix42, zum Politiker- und Promi-Hack

Sergej Schlotthauer ist seit 2007 Geschäftsführer der EgoSecure und heute als Vice President Security bei Matrix42 für den weiteren Ausbau des Bereichs Security verantwortlich. Zusammen mit einem Team aus 70 Mitarbeitern bildet er das Center of Excellence for Security.

Davor war er über 10 Jahre bei großen deutschen Software- und Dienstleistungsunternehmen der Medienbranche in verschiedenen Managementpositionen tätig. Bei der MediaCom, einer in Europa führenden Full-Service-Medienagentur, leitete er die gesamte IT-Abteilung. Als Director of Product-Development, verantwortete er den internationalen Portfolioausbau des Softwareherstellers Enteo Software.

CC BY-SA 4.0 DE

 
 
Sie dürfen:
  • Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten
  • Bearbeiten — das Material remixen, verändern und darauf aufbauen und zwar für beliebige Zwecke, sogar kommerziell.
  • Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
  • Bitte berücksichtigen Sie, dass die im Beitrag enthaltenen Bild- und Mediendateien zusätzliche Urheberrechte enthalten.
Unter den folgenden Bedingungen:
  • Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
  • Weitergabe unter gleichen Bedingungen — Wenn Sie das Material remixen, verändern oder anderweitig direkt darauf aufbauen, dürfen Sie Ihre Beiträge nur unter derselben Lizenz wie das Original verbreiten.