DsiN-Blog

Der IT-Sicher­heitsblog für den Mittelstand

Themen

Tipp des Monats

Machen Sie in nur zehn Minuten den IT-Sicher­heits­check von Deutschland sicher im Netz. Der Test liefert Hand­lungs­emp­feh­lungen, mit denen Sie die eigene IT-Sicher­heitslage ver­bessern können.

News­letter

Um neue Bei­träge regel­mäßig zu erhalten, können Sie hier unseren News­letter abonnieren:

Erneuter Datenklau von E‑Mail-Zugangs­­­daten

Datenklau Teil2

Wieder einmal 18 Mil­lionen, dar­unter vor­aus­sichtlich 3 Mio. gehakte deutsche E‑Mail-Konten ent­deckt. Vor 4 Monaten waren es schon einmal 16 Mil­lionen. Was lernen wir daraus?

 

 

Wär hätte das gedacht. Nach nur 4 Monaten erneut ein toller Fund! Wenn das so wei­tergeht, werden wir doch tat­sächlich mit der Nase regel­recht darauf geschlagen, dass die die Digitale Iden­tität – und damit auch die E‑Mail-Adresse — im Internet besser geschützt werden sollte.

Immerhin! Wir bekommen langsam aber sicher mehr Ein­blick in die reale Welt des Internet. Wer bisher glaubte, in der Masse der User unter­zu­gehen, wird langsam eines bes­seren belehrt. Langsam sind die Daten­dieb­stähle ver­gleichbar mit Steu­er­­sünder-DVDs, die einen Ein­blick gewähren, was alles an den Augen des Staates vorbei geht – nur wähnen sich hier die User in Sicherheit.

„Ich habe nichts zu ver­bergen“ ist in diesem Kontext wie eine Kari­katur auf das eigent­liche Problem: Wer sich als ein anderer glaubhaft aus­weisen kann, kann den­je­nigen tat­sächlich in Erklä­rungsnot bringen. Wer glaubt schon daran, dass der andere nicht viel­leicht doch etwas damit zu tun hat… — das kann auch schnell teuer, oder zumindest sehr auf­wändig werden.

Die Spitze des Eisbergs

Seien Sie ver­si­chert: Selbst diese Funde mas­siven Datenklau‘s sind noch lange nicht alles. Wer sich ein bisschen mit den Dun­kel­ziffern der poli­zei­lichen Kri­mi­nal­sta­tistik aus­ein­an­der­setzt, wird dies sicher bestä­tigen können. Die Meldung auf heise.de „360 Mil­lionen Online-Iden­­ti­­täten auf dem Schwarz­markt ent­deckt“ zeigt schön, in welchen Grö­ßen­ord­nungen wir ansetzen müssen.

Laut handelsblatt.com geht die Staats­an­walt­schaft davon aus, “dass es sich bei den aktuell ent­deckten Daten um „frische Mail-Konten“ handelt, die noch aktiv genutzt werden und nicht in weiten Teilen mit dem im ver­gan­genen Jahr ent­deckten Bestand iden­tisch sind.“ Nach Infor­ma­tionen, die heise Security vor­liegen, “hat das BSI wieder den Auftrag erhalten, die Betrof­fenen zu informieren.“

Ein ein­facher Ausweg

Ach ja, das Problem haben natürlich nicht für alle: Wer seine E‑Mail-Konten und Iden­ti­täten bereits mit Besitz­kom­po­nenten absi­chert, braucht sich hier herzlich wenig Sorgen zu machen. Selbst wenn E‑Mail-Adresse und Passwort in falsche Hände geraten, kann dennoch nicht auf den Account zuge­griffen werden!
 
Das hindert bei schlam­pigem Umgang die Diebe aller­dings nicht daran, die E‑Mail-Adresse auch bei diversen Shops, Sozial-Media-Plat­t­­formen etc. einfach aus­zu­pro­bieren. Dort wird ja auf­grund der im All­ge­meinen erwar­teten ein­fachen Nutzung KEINE Besitz­kom­po­nente – ja noch nicht einmal ein sepa­rater User-Name — verwendet.

Hier rächt sich dann der „billige“ und infla­tionäre Umgang mit Zugangs­daten, der lediglich E‑Mail-Adresse und Passwort ver­langt. Ein­fache Pass­wörter und deren Mehr­fach­ver­wendung bei unter­schied­lichen Diensten oder Shops etc. öffnet den Dieben Tür und Tor. Ihre Freunde werden sich sicher bedanken, wenn Inhalte und Links in E‑Mails aus Ihrem Account diverse Viren, Tro­janer oder Bot­netze enthalten.

Ein paar Regeln helfen weiter

Wenn nicht gleich eine Hardware-Kom­­po­­nenten zur Absi­cherung des Zugang – dann sind es immer die ein­fachen Dinge, die helfen das Risiko dras­tisch reduzieren:

  • Regel­mä­ßiger Scan auf Schad­software – auf ALLEN IT-Sys­­temen (Router, Server, Gateways , mobile Geräte etc.)
  • Regel­mä­ßiger Passwort-Wechsel
  • Kom­plexe Passwörter
  • Regel­mäßige Prüfung auf Software- bzw. Firmware-Updates bei Routern
  • Kein Hin­ter­legen von Passwörtern

Fazit:

Wer Schad­software auf einem seiner Systeme mit sich führt, hat bei allen Maß­nahmen zur Pass­wort­si­cherheit natürlich schlechte Karten.

Die Kom­po­nenten „Besitz und Wissen“ führen zu einem erheb­lichen Vorteil, wenn es um den Schutz von Zugangs­daten wie bei­spiels­weise bei E‑Mail-Konten geht.

Ver­schiedene Kenn­wörter – gespei­chert auf einem „Passwort-Manager“ können sowohl gut als auch leicht zu ver­wenden sein. Alter­nativ erleichtert eine Pass­wort­karte z. B. die Erstellung guter Passwörter.

Das bringt Vor­teile auf Seiten des Unter­nehmens wie auch auf­seiten des Anwenders: Die IT-Systeme und Pass­wörter werden sicherer, während dem Anwender Kopf­zer­brechen erspart bleibt.

Bild: © alphaspirit / Fotolia.com

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bernd Feuchter, DATEV eG

Bernd Feuchter beschäftigt sich seit 1997 im Hause DATEV mit IT-Themen, anfangs im Produkt- und Service-Management für unter­schied­liche DATEV IT-Lösungen. Nach seinem Studium zum Infor­matik-Betriebswirt (VWA) kümmert er sich seit 2004 um die Kom­mu­ni­kation zu Sicher­heits­themen und die über­grei­fende Ver­marktung der ent­spre­chenden Sicher­heits­pro­dukte bei DATEV. Daneben ist er seit 2006 für DATEV eG als Referent für “Sicher­heits­themen im Unter­neh­mens­alltag” tätig; seine Spe­zia­lität sind Vor­träge mit Live-Demos und –Hacking.

 

Koope­ra­ti­ons­partner

Für DATEV sind Daten­schutz und Daten­si­cherheit seit Gründung des Unter­nehmens zen­trale Ele­mente in der Geschäfts­po­litik. Daher enga­giert sich DATEV mit dem Blog für mehr IT-Sicherheit im Mittelstand.