Das Internet ist kein sicherer Ort. Ständig werden neue Hacker-Attacken bekannt, seit über einem Jahr weiß man, wie hemmungslos die NSA und andere Geheimdienste die Privatsphäre im Netz missachten. Die Welt ist gewarnt. Und doch, da sind sie jetzt, Dutzende gestohlene Nacktbilder von Stars wie Jennifer Lawrence und Kate Upton, öffentlich zur Schau gestellt in Schmuddel-Foren. Niemand ist sicher. Promis schon gar nicht.
Wie der oder die Hacker an die Fotos herangekommen sind, ist immer noch unklar. Irgendjemand setzte im Schatten der Anonymität zusammen mit den Nacktbildern auch das Gerücht in die Welt, sie stammten aus dem Apple-Speicherdienst iCloud. Belege gibt es bisher keine - aber viele Spekulationen. Apple prüft, das FBI ermittelt, Millionen Nutzer von Smartphones und Computern bleiben mit mulmigem Gefühl zurück.
Der Promi-Hack bekräftigt, wovor Sicherheitsexperten schon lange warnen: Das Konzept der Internet-Sicherheit mit Benutzernamen und Passwörtern, gestützt zum Teil auf Jahrzehnte alten Ideen, ist von Grund auf löchrig. Vergisst ein Nutzer ein Passwort, kommen zur Absicherung oft persönliche Fragen ins Spiel: Lieblingsfarbe, Name des Haustiers, Geburtsort. Bei einfachen Nutzern mag das noch gehen, aber im Fall von Promis ist jedes Detail dieser Art allgemein bekannt.
Hilfe für Passwörter
Eine beruhigende Meldung bereits zu Anfang:
Das gewählte Passwort ist sehr sicher (kann aber noch verbessert werden).
Eine gute Hilfestellung
Wie viele Programme aus diesem Umfeld, bietet auch der "Passwort Safe" die Möglichkeit, mittels eines Generators entsprechend sichere Passwörter zu erzeugen.
Erster Zugriff auf eine entsprechende Internet-Adresse
Im "Passwort Safe" kann dann direkt ein neuer Datensatz mit den benötigten Informationen erstellt werden.
Diese Warnung kann nur als übertrieben bezeichnet werden
RoboForm droht schon mit Systeminstabilität, wenn nur die Anwendung nicht im Standardverzeichnis installiert wird.
Nur mit Online-Konto
Sollen die Daten bei RoboForm über Plattformgrenzen hinweg zur Verfügung stehen, so muss dazu ein Online-Konto eingerichtet werden.
Durch ein Online-Konto stehen die Anmeldedaten dann via RoboForm auch auf anderen Plattformen bereit
Hier im Firefox unter Mac OS X oder …
… durch den Einsatz...
... der entsprechenden App wie hier auch auf dem Smartphone unter dem Android-Betriebssystem.
Die Sprachdatei muss separat heruntergeladen werden
Nach diesem Schritt steht die Freeware "KeePass" dann auch in deutscher Sprache bereit.
Open-Source-Tool mit Passwort-Generator
Mit Hilfe des integrierten Generators können Anwender auch mit dieser Software sehr komplexe und sicherer Passwörter erstellen.
Der Master-Schlüssel wird noch sicherer
Bei KeyPass kann dieses extrem wichtige Passwort so konfiguriert werden, dass es sich aus mehreren Schlüsselquellen zusammensetzt, was die Sicherheit deutlich erhöht.
1Password
Übersichtlich mit vielen unterschiedlichen Einsatzmöglichkeiten: Die Lösung 1Password ist leicht zu bedienen und steht nun in der aktuellen Version 4 auch mit deutscher Oberfläche bereit.
Online-Hilfe wartet noch auf Lokalisierung
Während die Anwendung in der Version 4 schon "Deutsch spricht", müssen die Nutzer bei der Online-Hilfe noch mit englischen Texten vorliebnehmen .
Schon bei der Installation zeigt sich, dass sich bei der Lösung "LastPass" fast alles um den Einsatz innerhalb des Browsers dreht.
Deshalb sollen auch die entsprechenden Plug-Ins installiert werden.
Der Anbieter versichert, dass die Daten lokal auf dem PC verschlüsselt werden.
Trotzdem bleibt das Sicherheitsrisiko, dass diese Daten dann auch amerikanischen Systemen in den USA abgelegt werden.
Bei der aktuellen Version von "LastPass" ist die Spracheinstellung nun unabhängig vom Browser
So können nun auch deutsche Anwender die Lösung in deutscher Sprache nutzen, wenn sie einen englischsprachigen Browser einsetzten. Nur die Skalierung des Fensters für die Einstellung klappt noch nicht richtig.
Die Wiederherstellung von Passwörter bedeutet in der Regel ein "Cracken" der Windows-Datenbank mit den Anmeldeinformationen
Das Sicherheitsprogramm und Windows reagieren deshalb in entsprechender Weise auf die Installation eines derartigen Programms (hier orphcrack).
Professionelle Wiederherstellungsprogramme wie dieses von Stellar Phoenix arbeiten in der Regel mit Hilfe einer Boot-Disk
Mit deren Hilfe können dann beispielsweise die entsprechenden Administrator-Passwörter gelöscht werden.
"Die Computer-Sicherheitsgemeinde weiß nicht wirklich, wie sie mit Hilfe kurzer und mobil nutzbarer Passwörter Daten vor entschlossenen Angreifern schützen kann", bringt es der Datenschutz-Experte Christopher Soghoian auf den Punkt. Zwar rüsteten Internet-Dienste auf, mit Verschlüsselung oder der Zwei-Faktor-Authentifizierung, bei der zusätzlich zum Passwort ein wechselnder Code eingetippt werden muss. Allerdings ist das vielen Nutzern zu umständlich.
Die Promis seien genauso nachlässig bei der Sicherheit wie jedermann, warnt Virenjäger Mikko Hypponen von der IT-Sicherheitsfirma F-Secure. Viele dürften ihre Apple-Konten vor einem Jahrzehnt beim Kauf des ersten iPod-Players eingerichtet und seitdem nichts geändert haben. "Benutzername und Passwort waren damals überhaupt nicht wichtig. Jetzt haben sie iPhones und iCloud, und dieselben Benutzernamen und Passwörter schützen ihre Fotos", argumentierte er bei "Forbes".
Dass die harte Verschlüsselung von Apples Datenwolke aufgebrochen wurde, gilt als wenig wahrscheinlich. Darüber, auf welchen anderen Wegen Hacker an Passwörter der Stars herangekommen sein könnten, wird viel spekuliert. Es könnten nach bewährtem Muster fingierte E-Mails mit Links zur angeblicher Passwort-Wiederherstellung gewesen sein. Oder eine angebliche Schwachstelle, die bis vor kurzem das uneingeschränkte Durchprobieren von Passwörtern erlaubt haben soll.
Plötzlich bekam auch eine beiläufige Bemerkung von Lawrence aus einem Interview im Frühjahr neue Bedeutung. Sie ärgere sich, dass iCloud sie ständig auffordere, Daten zu sichern, beschwerte sie sich im Musiksender MTV. Jetzt kann man darüber spekulieren, ob die Anfragen wirklich von iCloud kamen oder vielleicht Teil eines Angriffs waren.
Herausforderung Cloud Security
Herausforderung Cloud Security
Cloud-Computing-Umgebungen stellen in Bezug auf die Sicherheit IT-Verantwortliche und Systemverwalter vor neue Herausforderungen. Nach Angaben von Intel sind besonders folgende Faktoren zu berücksichtigen:
Mangel an Kontrolle
Eine dynamische Technik wie Cloud Computing verschiebt die Grenzen der Unternehmens-IT über das hauseigene Rechenzentrum hinaus, etwa durch Einbeziehen von Public Cloud Services.
Unzureichende Transparenz
In einer Cloud-Umgebung ist es wegen der hohen Komplexität schwieriger, Compliance-Vorgaben umzusetzen und die entsprechenden Audits vorzunehmen.
Virtualisierung
Durch die wachsende Zahl von Virtual Machines steigt das Sicherheitsrisiko, weil alle diese Komponenten verwaltet werden müssen, Stichworte Patch-Management, Implementierung von Schutzsoftware, Einspielen von Updates und so weiter.
Ort der Datenspeicherung
Rechtliche Vorgaben wie etwa das Bundesdatenschutzgesetz verlangen die Speicherung von Daten in Cloud-Rechenzentren, die innerhalb der EU angesiedelt sind und ausschließlich den hier geltenden Gesetzen unterliegen. Das erschwert die Wahl eines Cloud Service Providers.
Public Clouds
Bei der Nutzung von Public Clouds sind spezielle Sicherheitsanforderungen zu berücksichtigen, etwa bezüglich des Schutzes der Daten, die beim Provider lagern, sowie beim Transport der Daten über Weitverkehrsverbindungen und das Internet.
Zugriff auf die Cloud von privaten Systemen aus
Trends wie der Einsatz von privaten Endgeräten für betriebliche Zwecke erschweren die Absicherung des Zugriffs auf Cloud-Computing- Ressourcen. Eine Lösung ist der Einsatz von Mobile Device Management Software.
Audits und Überwachung von Sicherheitspolicies
Compliance-Regeln wie SOX (Sarbanes-Oxley Act), EuroSOX, HIPAA (Health Insurance Portability and Accountability Act) und PCI DSS (Payment Card Industry Data Security Standard) erfordern regelmäßige Überprüfungen der IT-Sicherheitsvorkehrungen. Speziell in Public- und Hybrid-Clouds, in denen neben einem Unternehmen ein Cloud-Service Provider im Spiel ist, sind entsprechende Audits aufwendig.
Risiken durch gemeinsame Nutzung von Ressourcen
In Cloud-Umgebungen teilen sich mehrere Kunden (Public Clouds, Community Clouds) physische IT-Ressourcen wie CPU, Speicherplatz und RAM. Wird ein Hypervisor kompromittiert, können die Anwendungen mehrerer Kunden betroffen sein.
Zugleich stammen die Bilder der Stars ganz offensichtlich aus verschiedenen Jahren, wurden nicht nur mit Smartphones aufgenommen - und manche stellten sich auch als Fälschungen heraus. Er sei anhand sichtbarer Daten nicht überzeugt, dass die Bilder nur aus iCloud stammten, erklärte der IT-Sicherheitsforscher Jonathan Zdziarski. Eine Theorie unter Experten ist, dass die Sammlung eines Hackers von anderen Angreifern aufgeknackt und veröffentlicht worden sein könnte.
Neben Spekulationen über den Ursprung der Bilder beschäftigt auch eine offensichtliche Doppelmoral das Netz. Einerseits regen sich viele über die NSA auf, andererseits werden Bilder, die eindeutig die Privatsphäre verletzen, munter weiterverbreitet. Die Schauspielerin Lena Dunham, selbst nicht von dem Foto-Hack betroffen, fand dafür drastische Worte: "Vergesst nicht, dass die Person, die diese Bilder gestohlen und veröffentlich hat, kein Hacker, sondern ein Sextäter ist." Auch die Empfehlung, einfach keine Nacktfotos zu machen, erinnere an die Rechtfertigung für sexuelle Übergriffe nach dem Muster: "Sie trug einen kurzen Rock..", kritisierte sie bei Twitter.
Auch Sicherheitsforscher Zdziarski warnte davor, nach dem Hack die Falschen zu verurteilen: "Sie würden einem Vergewaltigungsopfer nicht die Schuld dafür geben, dass es kein Pfefferspray dabei hatte." (dpa/tc)