Security-Tipps

Yahoo-Breach: Was Sie jetzt tun müssen

Lucian Constantin arbeitet als Korrespondet für den IDG News Service.
Simon verantwortet als Program Manager Executive Education die Geschäftsentwicklung und die Inhalte des IDG-Weiterbildungsangebots an der Schnittstelle von Business und IT. Zuvor war er rund zehn Jahre lang als (leitender) Redakteur für die Computerwoche tätig und betreute alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz.
Der große Datendiebstahl bei Yahoo zeigt einmal mehr, wie wichtig die folgenden grundlegenden Security-Hinweise sind.

Der 500-Millionen-Datensätze-Hack bei Yahoo schockiert zum einen ob seiner schieren Größe - es ist der größte Hack überhaupt - und zum anderen wegen seiner möglichen Folgen für die betroffenen Nutzer. Da Yahoo ein E-Mail-Provider ist, ist der Schaden hier besonders groß - nicht nur, weil die private Kommunikation von Millionen Nutzern kompromittiert wurde, sondern auch, weil in den E-Mails nicht selten jede Menge Login- und andere Vertragsdaten gespeichert sind.

Sollten auch Sie von dem Yahoo-Angriff betroffen sein, beherzigen Sie deshalb nun unsere Ratschläge:

Hashing oder nicht?

Yahoo teilte mit, dass "die überwiegende Mehrzahl" der gestohlenen Account-Passwörter mit bcrypt gehasht worden seien. Hashing ist eine kryptografische Operation, die einen Datensatz in eine zufällig aussehende Zeichenfolge umwandelt, die es genau einmal gibt - den Hash. Hashes sind in der Regel nicht in die Originalzeichenfolge zurückzuverwandeln - deshalb eignen sie sich gut, um Passwörter abzuspeichern. Ein Server nimmt eine Eingabe entgegen, wandelt diese über einen Hashing-Algorithmus um und vergleicht das Ergebnis mit dem bereits abgespeicherten Hash - sind beide identisch, ist das Passwort korrekt. So lassen sich Passwörter sofort auf ihre Richtigkeit prüfen, ohne sie im Klartext in der Datenbank abspeichern zu müssen. Leider bieten nicht alle Hashing-Algorithmen gleich guten Schutz gegen Passwort-Angriffe, in deren Rahmen versucht wird, herauszufinden, welches Passwort welchen Hashwert erzeugt. So ist beispielsweise der bekannte MD5-Algorithmus leicht zu knacken, wenn er ohne zusätzliche Schutzmaßnahmen implementiert wird.

Das von Yahoo verwendete bcrypt ist ein deutlich sicherer Algorithmus. In der Theorie bedeutet das zwar, dass "die überwiegende Mehrzahl" der Yahoo-Passwörter vermutlich nicht geknackt werden. Doch in der Praxis liegt das Problem: Yahoos Wortwahl in der Mitteilung suggeriert, dass zwar die meisten, aber eben nicht alle Passwörter mit bcrypt gehasht wurden. Wir wissen weder, wie viele nicht mit bcrypt gehasht wurden, noch, welcher andere Algorithmus zum Einsatz gekommen ist. Aufgrund der dürftigen Informationslage ist anzunehmen, dass es sich um einen unsicheren Algorithmus handelt und Yahoo diese Informationen nicht an die Angreifer weitergeben will.

Fazit: Niemand kann wissen, ob sein Yahoo-Passwort wirklich noch geschützt ist oder nicht - am sichersten ist es, davon auszugehen, dass es geknackt wurde - nun bleibt nur, soviel Schaden wir möglich abzuwenden.

So wenige Mails wie möglich behalten

Sobald Hacker in einen E-Mail-Account eingebrochen sind, können sie recht schnell herausfinden, welche weiteren Online-Konten mit derselben Mail-Adresse registriert wurden, indem sie das Postfach nach solchen Registrierungsmails suchen. Immer, wenn ein neues Kundenkonto angelegt wird, wird eine Bestätigung versendet - und die Erfahrung zeigt, dass diese Willkommens-Mails selten gelöscht werden. E-Mail-Anbieter bieten schließlich Speicherplatz satt.

Gefährlich sind diese Registrierungs-Mails auch deshalb, weil sie nicht nur verraten, wo sich der User registriert hat, sondern meist auch den gewählten Nutzernamen bestätigen, wenn es sich nicht sowieso um die E-Mail-Adresse handelt. Ein Angreifer benötigt damit nur noch ein Passwort, um ein weiteres Onlinekonto zu unterwandern. Und welches Passwort wird er hier wohl als erstes testen? Bleibt zu hoffen, dass Sie verschiedene Passwörter für verschiedene Dienste eingestellt haben...

Wenn Sie zu den Menschen gehören, die Registrierungs-Mails und andere automatische Benachrichtigungen wie Passwort-Zurücksetz-Mails nicht lösen, sollten Sie nun schleunigst damit anfangen. Sie möchte es Angreifern doch sicher nicht ganz so einfach machen, oder?

Yahoo-Kunden haben einiges zu tun, um sich ihre Sicherheit zurückzuholen.
Yahoo-Kunden haben einiges zu tun, um sich ihre Sicherheit zurückzuholen.
Foto: Lucian Milasan / Shutterstock.com

Vorsicht, wenn jemand nach persönlichen Daten fragt

Unter den gestohlenen Yahoo-Daten befanden sich Namen, Telefonnummern, Geburtsdaten und teilweise unverschlüsselte Sicherheitsfragen samt -antworten (für den Fall, dass Sie Ihr Passwort vergessen haben). Diese Informationen sind teilweise sehr persönlich und werden auch von Banken und Behörden zur Verifizierung eingesetzt. Es gibt kaum Fälle, in denen eine Website Ihr richtiges Geburtsdatum wissen muss, also geben Sie es lieber nicht heraus. Vermeiden Sie ebenfalls, Sicherheitsfragen mit den korreten Antworten zu beantworten. Denken Sie sich lieber eine falsche Antwort aus, die Sie behalten können. Yahoo empfiehlt übrigens wie viele andere Dienste auch, Sicherheitsfragen grundsätzlich nicht mehr zu verwenden - besser ist es also, sie gleich komplett aus dem Account zu nehmen.

E-Mail-Weiterleitung regelmäßig prüfen

Eine automatische E-Mail-Weiterleitung ist ein praktisches Feature, das aber gerne vergessen wird. Einmal gesetzt, denkt kaum noch ein Nutzer daran, regelmäßig zu prüfen, ob es noch aktuell ist. Es ist meist tief in den E-Mail-Einstellungen versteckt und wenn aktiv, gibt es keinerlei Hinweis darauf, dass es aktiv ist. Hacker wissen dass: Sie müssen sich deshalb nur einmal in Ihren Account hacken, eine Weiterleitungs-Regel aktivieren und bekommen fortan eine Kopie alle Ihrer Mails. Diese Einstellung verhindert übrigens auch, dass Sie Hinweis-Mails über verdächtige Logins von bisher unbekannten Geräten und IP-Adressen erhalten.

Zwei-Faktor-Authentifizierung überall

Benutzen Sie grundsätzlich eine Zwei-Faktor-Authentifizierung (2FA) für alle Konten, die sie unterstützen. Wenn Sie einen Online-Service von einem neuen Gerät aus nutzen möchten, werden Sie zur Eingabe eines Einmal-Passworts aufgefordert, dass Sie per SMS oder Smartphone-App zugeschickt bekommen - zusätzlich zum regulären Passwort. Durch diesen Mechanismus können Sie Ihren Account schützen, selbst wenn Hacker Ihr Passwort gestohlen haben. Yahoo unterstützt die 2FA - also nutzen Sie sie!

Nutzen Sie Passwörter nicht mehrfach

Es gibt genug sichere Passwort-Manager da draußen, die plattformübergreifend funktionieren. Es gibt also keine Ausrede, wenn Sie nicht für jeden einzelnen Account ein eigenes, komplexes Passwort verwenden. Wenn Sie für wenige wichtige Konten trotzdem lieber Passwörter haben wollen, die Sie sich merken können, verwenden Sie stattdessen Passphrasen - also Sätze, die aus Wörtern, Zahlen und Sonderzeichen bestehen.

Phishing FTW

Auf große Datendiebstähle folgen in der Regel Phishing-Versuche per Mail, weil Cyberkriminelle die herrschende öffentliche Aufmerksamkeit für den Vorfall auszunutzen versuchen. Diese Mails können als Security-Informationen getarnt sein und Anweisungen enthalten, vorgebliche Security-Tools herunterzuladen, die in Wirklichkeit aber Schadprogramme sind. Oder sie führen die Nutzer auf Websites, auf denen sie zusätzliche Daten eingeben sollen, um ihre Accounts "zu verifizieren" etc. Seien Sie auf der Hut vor solchen Mails! Passen Sie auf, dass Sicherheitshinweise in Folge eines Breaches nur vom betroffenen Anbieter selbst oder aus einer vertrauenswürdigen Quelle stammen.

Dieser Beitrag erschien im englischen Original bei unserer US-Schwesterpublikation PCWorld.