Die Geschichte von Naoki Hiroshima und seinem Twitter-Namen mit nur einem Buchstaben zeigt, wie wichtig ein ganzheitlicher Ansatz bei der Internetsicherheit ist, und dass die Sicherheit eines Online-Kontos oft ganz unvorhersehbar mit anderen Verbunden ist.
Hiroshima hatte einen Twitter-Namen mit nur einem Buchstaben: @N. Ihm wurden wohl gigantische Summen dafür geboten. Ich kann das nicht nachprüfen, aber er behauptet, dass ihm für den Verkauf seines Profils 50.000 Dollar angeboten wurden. Er behauptet zudem, dass endlose Angriffe auf sein Konto geführt wurden. Ihm wurden laufend Passwort-Reset-Anfragen geschickt, die von anderen, nicht von ihm selbst, ausgelöst wurden.
Die ganze Geschichte finden Sie hier auf Next Web. Ich sage dazu nur, dass ein Hacker es angeblich geschafft hat, Hiroshimas E-Mail-Konto und GoDaddy-Webseiten zu übernehmen, indem er sich mit den letzen vier Ziffern von Hiroshimas Kreditkartennummer authentifiziert hat, die er angeblich durch Social Engineering von einem Kundendienstmitarbeiter von PayPal bekommen hat. Die Geschichte klingt sehr ähnlich wie die von Matt Honan (Twitter-Name: @mat), dessen komplettes digitales Leben laut einem Wired-Artikel aus dem Jahr 2012 in nur einer Stunde kompromittiert wurde. Honan hatte seine Web-Konten miteinander verknüpft und ein Angreifer musste nur eines dieser Konten kompromittieren, so dass alle Dominosteine umgefallen sind.
Natürlich ist es für mich nicht möglich, Ihnen die perfekte Möglichkeit zum Schutz all Ihrer Dinge im Internet zu geben. Jeder hat andere Bedürfnisse sowie unterschiedliche Konten und Profile. Daher möchte ich die meistverbreiteten Dienste ansprechen und versuchen, entsprechende Regeln aufzustellen, die Sie hoffentlich davor schützen, durch solche Social-Engineering-Attacken zum Opfer von Datendieben zu werden.
Sehen Sie diesen Artikel als Übersicht, als holistischen Ansatz für die Sicherheit all Ihrer Konten und Profile. Beginnend mit diesem Artikel werden wir immer wieder Anleitungen zum Schutz bestimmter Web-Konten veröffentlichen. Etwa so, wie diese Anleitung zum Schutz des Twitter-Kontos.
Doch die erste Maßnahme ist folgende: Installieren Sie eine zuverlässige Sicherheitslösung, so dass Sie vor Keyloggern, Trojanern, Viren und anderen Schädlingen optimal geschützt sind. Und dann sollten Sie – wie schon oft erwähnt – Aktualisierungen installieren. Ohne diese Grundlagen, sind alle anderen Maßnahmen relativ sinnlos.
Noch ein paar allgemeine Hinweise, bevor wir ans Eingemachte gehen: Sie brauchen unterschiedliche Passwörter für all Ihre Online-Dienste. Beim Merken all der verschiedenen Passwörter kann ein Password-Manager helfen, der die Passwörter sicher speichert.
Und Sie sollten eine spezielle E-Mail-Adresse anlegen, die nur dazu genutzt wird, sich die Passwörter Ihrer anderen Konten schicken zu lassen. Wir empfehlen dafür ein eigenes E-Mail-Konto, das nur als Backup für die anderen Konten genutzt wird. Im Idealfall ein geheimes E-Mail-Konto, von dem nur Sie selbst wissen. Und es ist ganz sinnvoll, nicht nur ein einziges solches E-Mail-Konto zu haben, so dass Sie nicht alles auf ein Pferd setzen. Allerdings ist es natürlich verständlich, wenn Sie nicht Tausende E-Mail-Konten haben möchten. Microsoft oder Yahoo bieten Alias-Funktionen, die Anwendern helfen, keine zu großen digitalen Fußabdrücke zu hinterlassen. Wenn Sie zum Beispiel maxmustermann@outlook.com sind, können Sie ein Alias-Konto der Art [geheime Adresse]@outlook.com anlegen, das zum gleichen Posteingang führt.
Ich möchte noch einmal betonen, dass so eine zusätzliche Passwort-Adresse wirklich wichtig ist. Denn wenn jemand die Kontrolle über das Konto übernimmt, mit dem die Passwörter aller anderen Konten zurückgesetzt oder geändert werden können, haben Sie ausgespielt, denn dann sind all Ihre Konten kompromittiert.
Fangen wir mit Google an. Zunächst sollten Sie für Ihr Google-Konto eine zusätzliche Passwort-Mail-Adresse einrichten, so wie oben erwähnt. Denn falls Ihr Konto gehackt wird, können Sie sich darüber ein zurückgesetztes Passwort schicken lassen und Ihr Konto wieder zurückbekommen. Und Sie sollten das Google-Konto mit Ihrem Handy verknüpfen, so dass Sie die Zwei-Faktoren-Authentifizierung einschalten können, über die wir gleich noch sprechen werden.
Ihr Google-Konto hat einen Genehmigungsbereich, in dem Sie alle Apps und Services einsehen können, die auf Ihr Google-Konto zugreifen können. Prüfen Sie diese Genehmigungen hin und wieder, und wenn Sie darin Apps finden, die Sie nicht kennen, sollten Sie etwas über diese Apps herausfinden. Wenn diese Suche kein Ergebnis bringt oder klar zeigt, dass die fragliche App zwielichtig ist, sollten Sie die Genehmigungen dafür löschen. Denn vielleicht ist es eine legitime App, doch sie könnte auch schädlich sein und einem Angreifer vielleicht Zugriff auf Ihr Google-Profil geben.
Noch einmal: Der Grund, warum wir empfehlen, Ihr Konto mit Ihrem Handy zu verknüpfen, ist, dass Sie die Zwei-Faktoren-Authentifizierung nutzen können. Damit müssen Sie jeden Login von einem neuen Gerät mit einem sechsstelligen Code bestätigen, der Ihnen per SMS auf Ihr Handy geschickt wird. Ich gebe zu, das ist ein bisschen nervig, stellt aber für einen Angreifer eine massive Barriere dar, denn er müsste für den Zugriff auf Ihr Konto auch Ihr Handy stehlen oder Google selbst hacken, was zwar vielleicht möglich ist, aber bisher sind uns solche Fälle nicht bekannt… bisher. Sie können auch ein App-spezifisches Passwort einrichten, wenn Sie gmail von Ihrem iPhone oder einem anderen Mobilgerät nutzen, auf dem die Zwei-Faktoren-Authentifizierung per SMS nicht verfügbar ist. Das ist auch recht unpraktisch, allerdings ebenfalls eine ganz gute Sache. Wir werden in einem späteren Artikel näher darauf eingehen.
Neben der Zwei-Faktoren-Authentifizierung sollten Sie mobile Warnungen einrichten, so dass Sie immer dann eine SMS erhalten, wenn jemand versucht, Ihr Passwort zu ändern oder von einem fremden Ort auf Ihr Konto zuzugreifen. Davon abgesehen sollten Sie immer ein Auge auf die „kürzlichen Aktivitäten“ werfen, um sicherzustellen, dass alles eine Richtigkeit hat. Wenn Sie etwas Seltsames bemerken – und mit seltsam meine ich Aktivitäten, die von jemand anderem gestartet wurden –, ist es wahrscheinlich an der Zeit, das Passwort zu ändern. Android-Geräte und das Google Wallet – die beide über das Google-Konto erreicht werden können – enthalten höchst vertrauliche Informationen wie Kreditkartendaten, also sollten Sie sicherstellen, dass sie gut geschützt sind.
Es lohnt sich auch, zahlungsspezifische Sicherheitsmaßnahmen Ihrer Kartenanbieter, Online-Banking-Konten und der Google-Dienste zu prüfen. Viele Anwender nutzen Google auch in Kombination mit ihrer eigenen Domain. Dann sollten Sie wissen, dass ein Angreifer Ihre Domain hacken und als Geisel für den Zugang zu anderen Konten verwenden könnte (wie es im Fall @N passiert ist) oder sogar diesen gehackten Zugriff nutzen könnte, um andere Konten zu übernehmen (wie es im Fall @mat passiert ist).
Apple
Ganz genau so sollten Sie auch mit Ihrer Apple ID verfahren (wenn Sie eine haben). Dazu können Sie auf die Seite appleid.apple.com gehen und auch hier die Zwei-Faktoren-Authentifizierung einschalten. Auf diese Art erhalten Sie immer, wenn Sie Ihr Apple-ID-Konto ändern möchten, einen Zugangscode auf Ihr Mobilgerät. Dies ist aus zwei Gründen gut: Zum einen ist es neben Ihrem Passwort eine zweite Zugangsbarriere. Zum anderen wissen Sie, wenn Sie eine Zwei-Faktoren-SMS erhalten und nicht selbst auf Ihre Apple ID zugreifen, dass wahrscheinlich jemand anderes versucht, darauf zuzugreifen.
Davon abgesehen, haben Sie wahrscheinlich bereits Sicherheitsfragen eingerichtet. Ich bin kein großer Fan von vorgegebenen Sicherheitsfragen, doch wenn es nicht anders geht, versuche ich, sehr subjektive Fragen auszuwählen, deren Antwort ein Angreifer nicht im Internet finden kann. Ich empfehle auch hier, eine zusätzliche E-Mail-Adresse einzurichten, falls es zum Ernstfall kommt. Die E-Mail, die bereits mit Ihrem Apple-Konto verknüpft ist, sollten Sie als Hauptadresse nutzen, doch eine zweite richtet keinen Schaden an. Man sollte es nicht extra erwähnen müssen, aber dennoch: Das Passwort für Ihre Apple ID sollte stark und komplex sein, und nicht das gleiche wie für Ihre E-Mails oder andere Dienste.
Bitte beachten Sie: Manche Dienste – wie auch die @N-Geschichte zeigt – akzeptieren die letzten vier Stellen einer verknüpften Kreditkarte als Beweis, dass Sie der Eigentümer des Kontos sind. Apple gehört nicht dazu, doch wenn ein Service so arbeitet, sollten Sie dafür eine spezielle Kreditkarte verwenden. Damit kann ein Hacker, der die letzten vier Ziffern Ihrer Kreditkarte herausfindet, nur diesen einen Dienst kompromittieren und nicht jeden anderen, der die gleiche Authentifizierungsmethode verwendet.
PayPal
Hier gibt es zwei verschiedene Dinge: Auf der einen Seite, bietet PayPal eine praktische Möglichkeit für das Online-Banking, auf der anderen Seite ist PayPal eine effektive Möglichkeit, den Zugriff von Dritten auf die Details Ihres Online-Bankings zu beschränken. Ein Beispiel: Wenn Sie etwas von einem kleinen Online-Händler kaufen, können Sie nicht wissen, was auf deren Seite oder bei der Zahlung wirklich passiert. In solchen Fällen kann niemand garantieren, dass der Händler nicht Ihre vertraulichen Daten unverschlüsselt als Klartext speichert. Deshalb ist PayPal eine gute Alternative für solche Online-Transaktionen, bei denen Sie nicht unbedingt Ihre üblichen Zahlungsdaten preisgeben möchten.
Zudem muss man PayPal zugute halten, dass der Service wirklich praktisch ist und von vielen Online-Händlern angenommen wird. Wie bei vielen solchen Dienstleistern, möchte PayPal, dass die Kunden dem Unternehmen bei der Sicherheit einfach nur vertrauen, aber die Firma bietet auch wirklich einige starke Schutzmaßnahmen. So gibt es ein Limit für Abbuchungen (wobei ein Hacker, der das Konto kompromittiert, dieses Limit hochsetzen kann) – eine Funktion deren Nutzung ich absolut empfehle.
Die zweite – und noch wichtigere – Sicherheitsfunktion von PayPal ist der „Sicherheitsschlüssel“. Die Funktion ist im Grunde eine Art Zwei-Faktoren-Authentifizierung, auch wenn sie nicht so heißt. Die Anwender haben dabei einige Möglichkeiten: Sie können zum Beispiel die kostenlose Standard-SMS-Authentifizierung nutzen. Dabei geben Sie PayPal Ihre Handynummer, stimmen den Nutzungsbedingungen zu und erhalten immer einen einmaligen Zugriffscode, wenn Sie sich einloggen. Das bietet hohe Sicherheit, denn für Angreifer wird es schwerer, das Konto zu knacken und zudem erhalten Sie eine Warnung, wenn jemand Ihr Passwort gestohlen hat und versucht, auf das Konto zuzugreifen. Oder Sie zahlen 30 Dollar dafür, dass Ihnen PayPal einen Schlüsselgenerator (in Kreditkartengröße) schickt. Darauf drücken Sie einen Knopf und der Generator erstellt einen einmaligen Zugriffscode – ähnlich wie bei sicheren ID-Karten.
Zudem bietet PayPal die Möglichkeit, den Validierungsmechanismus für Kundendienst-Anrufe zu ändern. Standardmäßig wird hier die Kreditkartennummer verlangt, doch es gibt auch die Möglichkeit, einen speziellen numerischen Code zu verwenden. Wie schon oben erwähnt ist dies eine sicherere Option.
Darüber hinaus sollten Sie immer sicherstellen, dass Sie ein starkes Passwort nutzen und Ihr Konto mit einem Mobilgerät verknüpft ist, so dass Sie von PayPal Warnungen zu Passwortänderungen und verdächtigen Kontobewegungen erhalten können.
Bei unseren Kollegen von Threatpost finden Sie umfassende Übersichten und Sicherheitstipps für Twitter. Generell gilt auch hier die Regel, ein starkes Passwort zu verwenden und die Zwei-Faktoren-Authentifizierung einzuschalten. Die Zwei-Faktoren-Authentifizierung heißt bei Twitter „Login Verifications“.
Sie sollten zudem die Funktion einschalten, die bei Passwort-Resets die Eingabe persönlicher Informationen verlangt. Davon abgesehen sollten Sie E-Mail- oder SMS-Benachrichtigungen für Erwähnungen und Direktnachrichten einrichten, denn wenn jemand Ihr Konto hackt und Spam-Tweets oder schädliche Nachrichten absetzt, werden Ihre Freunde und Follower Sie wahrscheinlich darüber informieren. Dadurch können Sie das Problem so schnell wie möglich lösen.
Und Sie sollten immer ein Auge auf die Apps haben, die mit Ihrem Konto verknüpft sind, so dass diese immer aktuell sind. Zudem sollten Sie Apps, die Sie nicht mehr nutzen, den Zugriff auf Ihr Konto nehmen, denn ungenutzte Apps sind eine Möglichkeit für Hacker, Ihr Twitter-Konto zu kompromittieren.
Das Gleiche gilt auch für Facebook. Zunächst sollten Sie auf jeden Fall das sichere Browsing einschalten, falls Sie das nicht schon gemacht haben. Richten Sie auch die Benachrichtigungen ein, so dass Sie erfahren, wenn von einem unbekannten Browser auf Ihr Konto zugegriffen wird. Richten Sie auch Login-Bestätigungen ein, die Facebook-Variante der Zwei-Faktoren-Authentifizierung. Dadurch sendet Facebook einen Code an Ihr Mobilgerät, wenn jemand versucht, von einem unbekannten Browser auf Ihr Konto zuzugreifen.
Eine weitere Möglichkeit ist der Code-Generator, eine weitere Art der Zwei-Faktoren-Authentifzierungen. Statt SMS-Nachrichten mit Code, loggen Sie sich in die Facebook-App auf Ihrem Mobilgerät ein, die einen Zugangscode für Sie generiert. Wie bei Google können Sie auch App-spezifische Passwörter für die Apps festlegen. Doch anders als bei Google bietet Facebook eine Funktion, mit der Sie vertrauenswürdige Freunde anlegen können, eine zusätzliche Möglichkeit, im Notfall wieder Zugriff auf Ihr Konto zu erlangen. Der Notfall wäre hier, wenn Sie keinen Zugriff auf das E-Mail-Konto haben, über das Sie normalerweise das Passwort zurücksetzen lassen können, wenn das Facebook-Konto gehackt wurde.
Und schließlich auch hier der Tipp, Ihre aktiven Sitzungen zu beobachten und sicherzustellen, dass alle von Ihnen gestartet wurden. Und prüfen Sie hin und wieder auch die Liste der „vertrauenswürdigen Geräte“: Hier sollten nur Ihre eigenen aufgelistet sein.
Amazon
Wir nutzen hier Amazon als Beispiel für Online-Shops. Unser wichtigster Tipp – für alle Online-Shops – ist, am besten nicht Ihre Kreditkartennummer dort zu speichern, falls das möglich ist. Manche Händler bieten Ihnen diese Möglichkeit nicht; wenn Ihre Kreditkartennummr einmal eingegeben ist, wird sie auch gespeichert. Andere fragen freundlich nach, ob Sie die Kartendaten speichern oder nur einmal nutzen möchten. Andere wiederum speichern Ihre Kartendaten, erlauben Ihnen aber – wie Amazon – diese zu verwalten. In diesem Fall können Sie die Daten auf den Servern des Händlers speichern lassen, später aber wieder löschen.
Stellen Sie auch hier sicher, dass Sie ein starkes Passwort nutzen und Ihr Konto mit einer sicher konfigurierten E-Mail-Adresse verbunden sowie Ihrem Mobilgerät verknüpft ist. Darüber hinaus bietet der Web-Hosting-Service von Amazon meines Wissens eine Zwei-Faktoren-Authentifizierung, der Online-Shop leider nicht. Stellen Sie also sicher, ein starkes Passwort zu verwenden, und verknüpfen Sie Ihr Konto mit einer sicheren E-Mail-Adresse und Ihrem Mobilgerät.
Wie bei Facebook, sollten Sie auch hier in den Kontoeinstellungen die sichere Verbindung auswählen, so dass Sie immer im HTTPS-Modus auf die Seite zugreifen. Sie können dort auch eine Zwei-Faktoren-Authentifizierung einrichten. Darüber hinaus kann man generell sagen, dass man die Menge der persönlichen Informationen reduzieren sollte, die man auf solchen Seiten teilt. Vor allem auf einer Seite wie LinkedIn, wo persönliche Informationen recht schnell vertrauliche Daten enthalten können, etwa Informationen über Ihre Arbeitsstelle. Je mehr Informationen wir online teilen, desto wahrscheinlicher wird es, dass sich ein Angreifer für uns ausgeben kann und Menschen oder Maschinen überzeugt, ihm Zugang zu Nutzerkonten zu geben, auf die er eigentlich nicht zugreifen darf. Darüber hinaus macht es eine Fülle an arbeitsbezogenen Informationen Hackern leicht, Kollegen mit Phishing-Attacken hereinzulegen.
Yahoo
Yahoo hat kürzlich HTTPS eingeführt und bietet auch eine Zwei-Faktoren-Authentifizierung, und wir empfehlen natürlich, diese zu nutzen. Vergessen Sie auch nicht, eine Notfall-E-Mail-Adresse einzurichten. Und auch Yahoo bietet Sicherheitsfragen. Auch hier empfehlen wir, dass die Antworten zu diesen Fragen für Angreifer nicht leicht herauszufinden sein sollten.
Yahoo bietet auch einen interessanten Phishing-Schutz, der den Anwendern ein spezielles Siegel anzeigt, wenn sie sich in einen legitimen Yahoo-Dienst einloggen. Damit haben Sie die Sicherheit, dass wenn Sie auf einen Phishing-Link klicken und auf eine Webseite geleitet werden, die vorgibt, von Yahoo zu sein, genau wissen, dass diese kein Sicherheitssiegel anzeigt.
Wir werden später genauer auf die Sicherheits- und Privatsphäreeinstellungen von Yahoo eingehen.
Microsoft
Ein Micorosft-Dienst, auf den man ein Auge werfen sollte, ist Xbox Live, vor allem aufgrund der laufenden Verbindung mit dem Internet, die die neueste Microsoft-Konsole Xbox One bietet. Ich konnte mir das neue Gerät noch nicht in jeder Einzelheit ansehen, habe aber Xbox Live auf der Xbox 360 jahrelang verwendet. Wenn Sie sich in Ihr Xbox-Live-Konto einloggen, haben Sie die Möglichkeit, eine Zwei-Faktoren-Authentifzierung zu nutzen, eine Notfall-E-Mail-Adresse einzurichten und können wählen, ob und wann sie Sicherheitsbenachrichtigungen erhalten möchten. Damit schützen Sie zum einen Ihr Konto, aber auch die wahrscheinlich in Ihrem Konto gespeicherten Kreditkarte. Die letzten vier Stellen Ihrer Kreditkartennummer sind in Ihrem Web-Konto sichtbar – und vielleicht werden sie zum Einloggen in anderen Konten verwendet.
–
Das soll es für heute gewesen sein, doch unsere Reihe mit Online-Sicherheitstipps wird weitergeführt werden – auch als Video-Anleitungen. Also schauen Sie wieder einmal in unserem Blog vorbei…