Passwort Manager, anyone?

Die schlimmsten Security-Sünder des Jahres

15.12.2017
Von  und
Emmanuel Schalit ist CEO beim Sicherheitsanbieter Dashlane.


Florian beschäftigt sich mit vielen Themen rund um Technologie und Management. Daneben betätigt er sich auch in sozialen Netzen.

5. Die US-Republikaner: Eines der Data-Analytics-Unternehmen der Republikanischen Partei der USA (GOP) machte versehentlich die personenbezogenen Daten von 198 Millionen Amerikanern öffentlich zugänglich. Das entspricht in etwa der gesamten stimmberechtigten Bevölkerung der Vereinigten Staaten. Cybersecurity-Experte Archie Agarwal beschrieb den Vorfall als "Goldmine für jeden, der es auf Wahlberechtigte abgesehen hat und diese manipulieren möchte". Die Daten waren auf einem AWS-Server gespeichert - ohne Passwort-Schutz.

4. US-Verteidigungsministerium (DoD): Booz Allen Hamilton - Auftragnehmer des US-Verteidigungsministeriums - setzte das Pentagon einem enorm hohen Sicherheitsrisiko aus, als das Unternehmen kritische Daten auf einem Amazon-Server ablegte - ohne diese mit einem Passwort zu schützen. Zu den offengelegten Daten gehörten wiederum mehrere unverschlüsselte Passwörter, mit denen man sich Zugang zu vertraulichen Informationen verschaffen konnte.

3. Die britische Regierung: Ermittlungen der "Times" ergaben im Juni, dass russische Hacker regen Handel mit Tausenden von Passwörtern britischer Regierungsvertreter trieben. Betroffen waren Parlamentsabgeordnete und Mitarbeiter des Auswärtigen Amtes, darunter dessen IT-Chef. Die meisten der Passwörter wurden zwar bereits bei früheren Datenlecks abgegriffen, aber trotzdem nicht geändert. So hatten es die russischen Hacker besonders leicht, sich Zugang zu den jeweiligen Konten zu verschaffen. Beunruhigend ist vor allem das beliebteste Passwort unter den Regierungsvertretern: "Password".

Randnotiz: Bei einem anderen Zwischenfall im Dezember ließen mehrere britische Parlamentsabgeordnete auf Twitter verlauten, dass sie ihre Passwörter regelmäßig mit anderen teilen. So wollten sie einen Kollegen verteidigen, der ihrer Meinung nach irrtümlich einer Verfehlung bezichtigt wurde. Laut Sicherheitsforscher Troy Hunt weist dieser Vorfall "auf einen verheerenden Mangel an Wissen zu den Themen Datenschutz und IT-Sicherheit hin."

2. Equifax: Kriminelle Hacker verschafften sich die persönlichen Daten von knapp 150 Millionen Menschen in den USA, Großbritannien und Kanada über die Systeme des US-Finanzdienstleisters. Security-Experte Brian Krebs deckte auf, dass das Unternehmen für einige seiner Online-Portale die Login-Kombination "admin/admin" verwendete. Zwar bleibt weiterhin unklar wie genau es zu diesem Leck kommen konnte, doch liegt auf der Hand, dass der fahrlässige Umgang mit Passwörtern seitens Equifax die Daten von Millionen Menschen in Gefahr gebracht hat.

1. Donald Trump: Der US-Präsident steht an der Spitze der diesjährigen Security-Sünder. Und das aus gutem Grund. Denn für jemanden, der wiederholt die IT-Security-Verfehlungen seiner politischen Gegner angeprangert hat, bekleckert sich "POTUS" selbst nicht gerade mit Security-Ruhm. Im Januar 2017 wurde durch Ermittlungen des TV Senders "Channel 4 News" bekannt, dass viele hochrangige, von Trump persönlich ausgewählte Stabsmitglieder unsichere (weil viel zu simple) Passwörter verwendeten. Unter den hochrangigen Politikern waren auch mehrere Kabinettsmitglieder und Regierungsvertreter - offenbar auch der Cybersecurity-Beauftragte Rudy Giuliani. Die entsprechenden Passwörter wurden parallel für mehrere Websites und private E-Mail-Konten genutzt. Inzwischen ist davon auszugehen, dass diese laxen Passwort-Gewohnheiten für eine ganze Reihe von Datenschutzverletzungen zwischen 2012 und 2016 verantwortlich waren.

Trump verfügt auch über direkte Beziehungen zu drei der anderen "Spitzensünder". Das legt die Vermutung nahe, dass er für keine seiner Positionen vernünftige Cybersecurity-Protokolle implementiert hat. Schließlich wurden 2017 auch mehrere Websites der "Trump Organization" gehackt, während Security-Experten weiterhin die Sicherheit des präsidialen Mobile Devices und der Social-Media-Konten in Frage stellen.

Werden Sie nicht zum Passwort-Sünder!

Ein Präsident, der seine eigenen Cybersecurity-Verdienste in den höchsten Tönen lobt, möglicherweise aber am Ende selbst für zahlreiche schwere Sicherheitslücken verantwortlich war, ist nur die Spitze des Eisbergs. Denn die Verfehlungen der größten Security-Sünder 2017 sind leider alles andere als vergänglich. Sollten Sie ähnlichen IT-Security-Frevel zu verantworten haben, tun Sie gut daran, sich ausgiebig an den folgenden drei Passwort-Lektionen zu laben:

  1. Passwortschutz ist Pflicht

  2. Nur ein starkes Passwort ist ein gutes

  3. Mehrfachnutzung ist der Teufel

Wenn Sie sich jetzt fragen, wie Sie das nun wieder bewerkstelligen sollen - werfen Sie unbedingt einen Blick auf folgende Beiträge:

In jedem Fall sollte Passwort-Sicherheit auf Ihrer Prioritätenliste ganz weit oben stehen, egal ob im Unternehmensumfeld oder privat.