Nach dem Yahoo-Datenklau – ist vor der Phishing-E-Mail-Welle
Dem Internet-Konzern Yahoo wurden bereits im Jahr 2014 persönliche Informationen von rund 500 Millionen Usern gestohlen. Dabei handelt es sich um Namen, E-Mail-Adressen sowie verschlüsselte Passwörter. Das Ausmaß des Angriffs stellt den bislang größten Datenklau der Geschichte dar. Yahoo vermutet Hacker mit staatlicher Unterstützung und prüft die Situation derzeit. Passen Sie demnächst genau auf, von wem Sie E-Mails mit Yahoo-Account bekommen.
Der Yahoo-Hack: bislang der größte (bekannte) Datenklau in der IT-Geschichte (Bild/Quelle: Statista)»Es besteht keinerlei Zweifel daran, dass Datenlecks dieser Größenordnung uns als Angriff auf vertrauliche Daten auch in Zukunft erhalten bleiben«, kommentiert David Lin, Enterprise Sales Manager vom Data-Governance-Software-Spezialisten Varonis. »Auf den ersten Blick sieht es so aus, als hätten Kontodaten, Passwörter und Benutzereinstellungen kurzfristig eher wenig Wert. Das sieht über einen längeren Zeitraum betrachtet allerdings ganz anders aus. Dann nämlich, wenn Hacker Daten aus unterschiedlichen Quellen zusammenführen und so ein immer klareres Bild der Opferidentitäten entsteht. Umso mehr als die Art und Weise wie solche Daten aggregiert werden immer raffinierter wird.«
Ähnlich sieht auch Monika Schaufler, Regional Director Central EMEA bei Cybersecurity-Unternehmen Proofpoint, aufkommen: »Die E-Mail ist bei aktuellen Cyber-Bedrohungen die erste Wahl. Weltweit verwenden Cyber-Kriminelle diese Schwachstelle, um systematisch hoch angesehene Organisationen anzugreifen. Die aktuelle Nachricht bezüglich des Hacker-Angriffs auf Yahoo ist ein weiterer Beweis dafür, dass diese Kriminellen persönliche Postfächer von privaten Anwendern mit der gleichen Aggressivität attackieren.«
Da die E-Mail ein elementares Kommunikationsmittel in unserer digitalen Gesellschaft ist, versuchen Kriminelle daher diese stetig zu kompromittieren. Eine E-Mail eine direkte Verbindung und damit ein direktes Angriffsziel zwischen einem Hacker und einem Anwender darstellt. »Sobald eine E-Mail gehackt wurde, kann der Angreifer die Identität des Opfers übernehmen und ebenfalls alle persönlichen Kontakte attackieren«, erläutert Schaufler. »Zudem ermöglicht es ihm, alle Account-Passwörter zurückzusetzen. Die E-Mail-Anmeldeinformationen sind die wichtigsten und empfindlichsten Informationen jedes Individuums und sind daher das Nummer 1-Angriffsziel jedes Cyber-Kriminellen.« (Rund um Phishing-E-Mails hat speicherguide.de ein kostenlos herunterladbares White-Paper zusammengestellt: »16 Tipps, dem E-Mail-Betrug zu entgehen«.)
Wiederverkauf im Darknet: Wer will 200 Millionen Yahoo-Accounts?
Die Security-Branche geht davon aus, dass die ergaunerten Kontodaten wohl zu einer Welle von Fake- und Phishing-E-Mails führen dürften. In Unternehmen sollen damit beispielsweise Verschlüsselungs-Trojaner (Ransomware) eingeschleust werden. Oder es wird ein »CEO-Fraud« (auch »Geschäftsführer-Trick«, »Business E-Mail Compromise« (BEC) oder »Chef-Masche« genannt) vorberietet. 200 Millionen Yahoo-Accounts wurden bereits früher im Darknet zum Verkauf angeboten. »Das aktuelle Yahoo-Datenleck ist ein gutes Beispiel dafür, wie eine einzige Datenschutzverletzung wieder und wieder Unternehmen und ihre Kunden in Schwierigkeiten bringen kann«, erklärt Varonis-Manager Lin. »Sinnfällig lässt sich zudem daran ablesen, wie ‚in-the-dark’-Geschäftsmodelle typischerweise funktionieren.«
Lin verweist darauf, dass die üblicherweise eingesetzten Monitoring-Tools und Logging-Daten meist dazu nicht mehr ausreichten, solche Datenklauattacken abzuwehren: »Unsere Beobachtungen zeigen, dass es an den Basics hapert, wenn es darum geht Daten zu schützen – und das gilt gleichermaßen für einzelne Benutzer wie für große Unternehmen. Weder die schiere Zahl von Datenschutzverletzungen wird abnehmen, noch der Umfang der davon betroffenen Daten. Das betrifft sowohl interne wie externe Schwachstellen. Schließlich erheben Unternehmen immer noch mehr Daten von Kunden und Geschäftspartnern, was per se nicht gerade dazu beiträgt, die Risiken einer Datenschutzverletzung zu senken. Kein Unternehmen der Welt kann sich 100-prozentig gegen solche Vorkommnisse abschotten, wenn es produktiv bleiben will.«
Lin ist sich sicher, dass es eine narrensichere Lösung nicht geben wird: »Nicht, so lange das schwächste Glied in der Kette, die Personen sind, die auf Daten und Informationen zugreifen müssen, um ihren Job zu machen. Spear-Phishing-Angriffe, die sich gezielt auf gültige Anmeldedaten richten, kommen inzwischen nicht nur deutlich häufiger vor, sie sind auch deutlich intelligenter geworden. Administratoren und IT-Sicherheitsexperten sollten sich darauf einstellen, dass, wenn sie noch nicht Opfer einer Datenschutzverletzung geworden sind, es irgendwann in der Zukunft ganz sicher werden.« (Wie Sie Phishing-E-Mails besser erkennen, hat speicherguide.de in einem kostenlos herunterladbaren White-Paper zusammengestellt: »16 Tipps, dem E-Mail-Betrung zu entgehen«.)
Ein gutes Passwort reicht nicht mehr – es gäbe noch wirksamere Sicherheits-Tools
Das Security-Unternehmen plädiert dafür, evtl. langsam auf bei E-Mails auf weitere Sicherheitsmechnismen als nur das Passwort zu setzen. »Der Sicherheitsvorfall jüngste macht deutlich: Passwörter sind nicht sicher, egal wie kompliziert oder vermeintlich einzigartig wir sie gestalten. Schwierigere Kombinationen helfen lediglich dabei, dass laienhafte Eindringlinge das Passwort nicht erraten können«, erläuert Armin Simon, Regional Sales Director für den Bereich Identity & Data Protection bei Gemalto Deutschland. »Die andere, offensichtlichere Herausforderung bei anspruchsvollen Passwörtern: Sie sind so schwierig zu merken, dass viele dazu neigen, ein und dasselbe Kennwort für sämtliche Accounts zu nutzen. Ist es erstmal abgegriffen, haben Angreifer leichtes Spiel, sich komplette Identitäten zu eigen zu machen. Experten sprechen dabei von ‚Identitätsdiebstahl’ – aktuell der häufigste Grund für Datenklau.«
Dabei biete Yahoo nach Erkenntnissen von Gemalto bereits wirksame Sicherheits-Tools an. »Sie greifen jedoch nur, wenn der Anwender auch daran denkt, sie zu aktivieren«, betont Simon. »Internet-Unternehmen sollten angesichts der aktuellen Sicherheitslage standardmäßig auf Multi-Faktor-Authentifizierung bei allen Online-Accounts setzen, sprich gleich mehrere Aspekte der Identifizierung bei der Anmeldung einfordern. Neben dem Passwort oder der PIN kann das ein Token oder eine Smartcard im Besitz des Anwenders sein, oder auch ein biometrisches Merkmal wie ein Fingerabdruck.«