Cloud-ComputingIdentität in Gefahr

Wie leicht sich Daten aus der Cloud stehlen lassen von  und

Mat Honan ist das Opfer eines Verbrechens: Ihm wurde seine Identität gestohlen. Seine Benutzerkonten bei Google und Apple wurden gekapert, seine Festplatten gelöscht und auf Twitter wurden rassistische Meldungen in seinem Namen verbreitet. Innerhalb von nur einer Stunde verlor er all seinen digitalen Besitz.

Am erschreckendsten daran ist, wie einfach der Diebstahl war. Die Hacker, die bei Mat Honan eindrangen, brauchten keine umfangreichen Technikkenntnisse. Nötig waren nur einige Klicks und Anrufe bei verschiedenen Kundendiensten. Denn die Fehler lagen im System, in den Sicherheitsvorkehrungen von Amazon und Apple – und nicht zuletzt bei Honan selbst.

Anzeige

Seine Geschichte ist ein Lehrstück darüber, wie angreifbar unsere digitalen Identitäten sind. Honan, Autor beim US-Magazin Wired, hat das Geschehen auf dessen Onlineseite rekonstruiert. Hilfe bekam er dabei von einem der Hacker selbst: »Phobia«, der die Aufmerksamkeit für seinen raffinierten Angriff genoss.

Ursprünglich hatten Phobia und seine Kollegen nur Honans Twitter-Konto kontrollieren und dort verfängliche Nachrichten posten wollen, um sich in Hackermanier zu amüsieren. Doch als sie sich das Profil ansahen, fühlten sie sich geradezu eingeladen, auszutesten, an welche Daten von Honan sie zusätzlich herankommen könnten.

Der Twitter-Account verwies nämlich auf die persönliche Website, auf der sich Honans Google-Mail-Adresse sowie seine Postadresse befanden. An das Google-Konto kamen die Hacker zwar ohne Passwort nicht heran. Aber auch ohne eingeloggt zu sein, kann man dort die sogenannte »Konto-Wiederherstellung« starten, ein Service für Nutzer, die ihr Passwort vergessen haben. Google schickt dann ein neues Passwort an eine alternative E-Mail-Adresse, in diesem Fall ein Konto bei Apple. Diese Adresse wurde zwar nur teilweise angezeigt, war dann aber leicht zu erraten, weil Honan immer dasselbe Prinzip für die Konstruktion seiner E-Mail-Adressen verwendet hatte.

Das Apple-Konto könnte sich knacken lassen, befanden die Hacker. Neben E-Mail- und Postadresse, die sie ja besaßen, benötigten sie dafür die letzten vier Ziffern der Kreditkartennummer. Eine geschützte Zahl? Weit gefehlt, nutzte Honan doch wie Millionen andere das Onlineversandhaus Amazon. Die Hacker riefen dort an, gaben sich als Mat Honan aus und sagten, sie wollten eine neue Kreditkartennummer zum Konto hinzufügen. Der Amazon-Kundendienst fragte Namen, E-Mail- und Postadresse ab und nahm die fiktive Nummer an.

Nun meldeten sich die Hacker erneut bei Amazon und behaupteten, sie hätten den Zugang zum Account verloren. Sie gaben Name, Postadresse sowie die neue Kreditkartennummer an und hatten damit Zutritt zu Honans Versandhaus-Welt – wo auch die letzten vier Ziffern seiner echten Kreditkarte erschienen.

Diese vier Ziffern wiederum »gelten bei Apple als sicher genug, um als Identitätsnachweis zu dienen«, schreibt Honan. Die Hacker riefen beim dortigen Kundendienst an, behaupteten, ihr Zugang funktioniere nicht, und nannten E-Mail-Adresse, Rechnungsadresse und eben jene Kreditkartendaten. Obwohl sie die Sicherheitsfragen (etwa »Was war der Mädchenname Ihrer Mutter?«) nicht beantworten konnten, bekamen sie ein temporäres Passwort für Honans Apple-Konto. Sie änderten das Passwort und sperrten den Technik-Journalisten damit aus. Jetzt waren sie in Mat Honans Heiligstem, in seiner iCloud.

Solche Clouds sind eine Art Festplatte im Netz, auf die man seine Daten auslagert, um jederzeit und von jedem Ort aus Zugang zu ihnen zu haben. Außerdem kann man in der Cloud Fotos, Musik und andere Dokumente mit Freunden teilen. Mehr als 50 Millionen Menschen nutzen beispielsweise den Webdienst Dropbox, und alle Datendienste von Google basieren auf diesem Prinzip. Apple ködert Kunden für seine iCloud auch mit Zusatzfunktionen wie der Möglichkeit, ein verlorenes Smartphone zu orten oder im Fall eines Diebstahls sämtliche Daten darauf zu löschen.

Mat Honan hatte eine Menge Daten in der Cloud, seine Programme, seine Musik, seine privaten Fotos, als die Hacker die Macht übernahmen. Einmal in der Cloud, konnten sie Honans Google- und Twitter-Konto kontrollieren und mit neuen Passwörtern den eigentlichen Besitzer aussperren. Zudem löschten sie alle Daten von iPhone, iPad und Laptop. Dann entschieden sie, dass sie nun genug Unheil gestiftet hätten.

Dabei hätten sie weit mehr anrichten können: »Ein solcher Identitätsdiebstahl kann einen finanziellen Schaden oder Reputationsverlust nach sich ziehen«, sagt Marit Hansen vom Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein. Dagegen anzugehen sei äußerst aufwendig für die Betroffenen.

Zum Teil ist Honan selbst schuld an seinem Unglück. All seine Mail-Adressen waren ähnlich, er vernetzte seine Konten und gab viele Informationen preis. Aber da ist er nicht der Einzige. »Die meisten von uns gehen ähnlich vor«, sagt Hansen, »ein Großteil der Nutzer ist gefährdet.«

Umso wichtiger wäre ein sicherer Schutz vonseiten der Anbieter. Auf Wired online räumte Apple ein, die internen Richtlinien seien nicht in Gänze befolgt worden. »Wir stellen jetzt alle Prozesse auf den Prüfstand, um sicherzustellen, dass der Schutz der Daten unserer Kunden garantiert ist.« Gegenüber der ZEIT wollte sich Apple zu dem Fall nicht erneut äußern. Amazon vermeldete nur: »Wir haben die gemeldete Ausnutzung der Sicherheitsanfälligkeit überprüft und können Ihnen versichern, dass diese behoben ist.«

Gerade was die Authentisierungsverfahren angeht, sieht Marit Hansen jedoch großen Nachholbedarf. Passwörter allein böten keinen ausreichenden Schutz gegen Identitätsdiebstahl, meint die Datenschützerin. Chipkarten oder Kryptozertifikate könnten eine Mehrfaktoren-Authentisierung sicherstellen – Systeme, die den meisten Anbietern bislang zu aufwendig scheinen. Honans Geschichte hält die Datenschützerin für »überaus gravierend«. Sie zeige, wie anfällig unsere digitale Welt derzeit sei. Oft gilt: Fällt ein Konto, fallen alle.

Zur Startseite
 
Schreiben Sie den ersten Kommentar!

    Bitte melden Sie sich an, um zu kommentieren

      Service