Oder wenn die Bequemlichkeit und Nervosität zur Falle wird.
Die Ereignisse um den Youtuber Klaus Hellmich aka Lichtbildidealisten lässt aufhorchen. Sein Google Konto wurde kompromittiert. Ob das mit seinem Zutun passiert ist, soll hier nicht Thema sein, obwohl es relevant ist. Dazu komme ich noch. Ich teile hier meine Gedanken zu dem Thema.
Im Rahmen der Diskussion bei seinen Videos auf youtube – der Kanal heist Lichtbildidealisten Reloaded – mit tausend Tipps wird auch von hardwareseitigen Sicherheitsmechanismen gesprochen. Insbesondere wird der Yubikey hervorgehoben.
Der Yubikey ist ein USB Stick, den es in verschiedenen Ausführungen für rund 70 Euro gibt. Ich habe mir einen angeschafft. Nicht nur wegen der Ereignisse um Klaus herum sondern aus gegebenem Anlass. Denn seit geraumer Zeit wird diese Webseite und die der Fotoschule Castrop-Rauxel – zu finden unter uwemoebus.de – angegriffen in der Form dass sich unbefugte einzuloggen versuchen. Die Versuche nehmen zu. Ich erfahre davon, weil ich ein Tool installiert habe, welches unbefugte Anmeldeversuche erkennt und dann auch blockiert und mich darüber informiert.
Die Problematik liegt hier darin, dass die Anmeldung bei WordPressinstallationen über Benutzername und Passwort erfolgt. Da ist es eine Frage der Zeit, wann das geknackt wird und man Zugriff erlangt.
Aber ich habe ja Touch ID auf meinem MacBook. Toll oder? Nein ganz und gar nicht. Touch ID dient der Bequemlichkeit in Bezug auf die Eingabe von Kennwörtern und Benutzerkennungen die in der Passwort App auf dem Mac bzw. in der Cloud gespeichert sind. Die Sicherheit liegt nur darin, dass ein anderer nicht mal eben an meinem unbeaufsichtigtem Macbook Zugriff auf Passwörter erhält.
Anders sieht es aus, wenn man den Yubikey verwendet. Dieser Hardwareschlüssel ersetzt Passwörter. Wenn der Webdienst die Anmeldung über einen Hardwarekey ermöglicht, ist das ein sehr sicheres Anmeldeverfahren. Selbst wenn ein Angreifer den Usernamen herausfinden sollte, nutzt ihm das nichts weil er den, wie in meinem Fall, Yubikey nicht hat.
Eine andere sichere Anmeldemethode ist die 2FA – 2 Faktor Authentifizierung – über eine App die die Identität nach der Eingabe von Nutzernamen und Passwort überprüft. Bei der Postbank z.B. über die BestSign App, die mit meinem eigenen iPhone verbunden ist. Ich muss dieses eine iPhone benutzen, damit es funktioniert.
ABER alles was bisher nur grob von mir hier beschrieben wird gilt ausschließlich für die Anmeldung bei Diensten oder Webseiten. Die bösen Hacker da draußen gehen da ganz anders vor. Mittels gefälschter Emails, die so aussehen als seien sie von Google, von Deiner Bank und so weiter, wird man zum Handeln aufgefordert. Gerne wird das als Sicherheitswarnung getarnt, die Dein schnelles und sofortiges Handeln verlangt. Ein Link zum Anklicken der zur Problemlösung führen soll, steht hervorgehoben bereit. Klickt man darauf und folgt im weiteren Anweisungen auf gefälschten Webseiten, die aussehen als seien es die von Deinem Dienst, sprich Bank, Google Konto etc., dann ist dem Angreifer Tür und Tor sperrangelweit geöffnet. Dein Computer ist infiziert und Dir kann und wahrschlich wird Dir erheblicher Schaden zugefügt.
Man nennt diese Angriffe auch Man-in-the-middle oder Session-Hijacking.
Hier ein eher harmloses Beispiel zur Verdeutlichung wie wahre Absichten verschleiert werden können:
Die Email scheint von WordPress zu sein. Aber ich habe nichts über WordPress laufen, sondern meine WP Installation läuft auf einem Service von Strato. Ein Klick auf den Pfeil neben dem Absendernamen, welcher frei erfunden ist, sieht man einen anderen Absender. Unter dem Button “Jetzt verifizieren” verbirgt sich ein Link – sieht man wenn man den Mauszeiger länger drauf schweben lässt, ohne zu klicken, folgendes:
Da wird nichts verifiziert, da steht etwas von newsletter. Das Beispiel des Versuchs meine Emailadresse zu verifizieren steht stellvertretend für die subtile Vorgehensweise. Um zu sehen, ob meine WordPressinstallation mit der richtigen Emailadresse verbunden ist, weis ich doch in aller Regel und im Zweifel logge ich mich ein und schaue nach.
Wichtig: Schaue Dir die Emails genau an. Klicke keinen Link an in einer Email. Schließe Dein Emailprogramm für den Moment und gehe auf die Webseite des vermeintlichen Absenders und schaue dort in Deinem Profil nach ob dort auch etwas steht, was Deine Handlung erfordert. Gerade in Bankangelegenheiten wird da etwas in Deinem persönlichen Postfach zu finden sein. Und jede Online Bank hat eine Servicetelefonnummer. Im Zweifel rufe dort an. Und bedenke, Du wirst niemals per Email oder am Telefon um Angabe Deiner Pin etc. gefragt. Du bekommst umgekehrt auch keine Antwort auf die Frage nach einer vergessenen Pin. Melde Dich aktiv von Webdiensten ab. Manche Webseiten bieten Dir an Dich wiederzuerkennen, mach das nicht. Ebenso ist “angemeldet bleiben” keine gute Sache.
Das Thema ist vielfältig und ich habe hier nur meine Anregungen und Hinweise geschrieben, die keinerlei Anspruch auf Vollständigkeit und/oder Richtigkeit erheben. Eine gute Informationsquelle ist Kaspersky. Hier ein Link zum Thema Session-Hijacking.
Sei wie ich vorsichtig, verwende sichere Passwörter, für jeden Dienst ein anderes, klicke auf Links in Emails nur wenn Du sicher bist, dass es OK ist.
Schreibe einen Kommentar