Spiegel-Experiment: Wie leicht haben es Hacker bei Google und Co.?

D.Lehmann

Sichere und unterschiedliche Passwörter wählen, diese nicht im Browser speichern, verdächtige Mails und Anhänge nicht öffnen und so weiter: Dass Nutzerinnen und Nutzer zu großem Teil selbst für den Schutz ihrer Daten verantwortlich sind beziehungsweise diesen bewusst steuern können, sollte jedem klar sein. Doch was passiert, wenn die verwendeten Dienste und Webseiten ihrerseits selbst Schlupflöcher und Sicherheitslücken aufweisen?

Dieser Frage ist man bei Spiegel Online nachgegangen. Überprüft wurde was passiert, wenn jemand in ein Nutzerkonto bei Facebook, Apple, Google, Twitter und GMX eindringen möchte: Ab wie vielen Anmeldeversuchen schlägt das System Alarm? Wie gestaltet sich die Anmeldung über ein neues Gerät? In welchen Fällen wird man überhaupt benachrichtigt?

 

Passwörter wurden wohl teilweise einfach erraten

Hintergrund ist der Hackerangriff des 20-jährigen Johannes S., der unter Decknamen wie „0rbit“ und „G0d“ ab dem 1. Dezember 2018 über Twitter als eine Art Adventskalender täglich Daten von fast 1000 Politikern und Promis veröffentlichte (darunter beispielsweise Bundespräsident Frank-Walter Steinmeier und Jan Böhmermann).

Inzwischen geht man nämlich davon aus, dass der junge Mann keine spezielle Software oder Algorithmen verwendete, um an die Daten zu kommen, sondern vielmehr schlicht Passwörter erriet. Zudem habe er strukturelle Fehler in den Funktionen „Passwort vergessen“ und „Passwort zurücksetzen“ ausgenutzt. Genau das hat Spiegel Online getestet.

 

Nicht alle Sicherheitsmechanismen greifen

Beim Versuch das Passwort zurückzusetzen, haben alle genannten Anbieter gewisse Hürden für Betrüger eingebaut. So wird zunächst der Hinweis, dass diese Anfrage einging, bei allen Diensten an die für solche Fälle hinterlegte E-Mail-Adresse geschickt. Twitter bietet alternativ auch den Versand eines Bestätigungscodes per SMS an, was aber im Test nicht funktioniert habe.

In der Folge unterscheiden sich die weiteren Sicherheitsmechanismen der untersuchten Dienste mitunter stark - mit entsprechenden Konsequenzen. Bei GMX können Betrüger es beispielsweise über die Telefon-Hotline versuchen. In bestimmten Fällen ist eine Verifizierung über eine Ausweiskopie möglich – wozu Johannes S. in der Lage war. Google erkundigt sich zwar nach dem letzten bekannten Passwort und, falls hinterlegt, nach der Sicherheitsfrage. Scheitert der Betrüger an dieser Stelle, erfolgt allerdings keine Warnung an den „echten“ Nutzer.

 

Als Fazit heißt es bei Spiegel Online daher, dass

  • Warnungen, die man erhält, ernst genommen werden sollten
  • Sich jede Nutzerin und jeder Nutzer intensiv mit den möglichen Sicherheitseinstellungen der jeweiligen Accounts beschäftigen sollte
  • man sich nicht auf die Anbieter allein verlassen sollte, sondern mit starken Passwörtern, der Zwei-Faktor-Authentifizierung und anderen sinnvollen Maßnahmen selbst aktiv dazu beitragen muss

 

Zum kompletten Beitrag „Das passiert, wenn jemand Ihr Konto hacken will“ von Spiegel Online geht es hier: Link

Aus unserem Blog dazu interessant: Nach Hackerangriff: So schützen Sie Ihre Daten: Link