So schützen Sie sich vor Lücken in Cloud-Diensten

Sie möchten nicht, dass Ihre Nacktfotos oder Kreditkartendaten irgendwo im Internet auftauchen? Dann sollten Sie Ihre Einstellung zu Cloud-Diensten überdenken.

iCloud

Das letzte Wochenende brachte viele Schlagzeilen: Anonyme Hacker (wobei einige der Meinung sind, dass es sich um einen Einzeltäter handelt) sind irgendwie an freizügige Fotos verschiedener Stars gekommen, inklusive solcher Hollywood-Schauspieler wie Jennifer Lawrence, und haben diese im Internet veröffentlicht. Natürlich sind solche Datendiebstähle nichts Neues, doch dieser Fall hier ist wahnsinnig groß. Zudem gab es von Anfang an Mutmaßungen, dass zumindest einige der Fotos direkt von den Apple-iCloud-Konten der Stars gestohlen wurden. Ist das möglich und wie kann man einen solchen Diebstahl verhindern?

Mögliches Szenario

Momentan gibt es in diesem Fall keine Beweise, Apple und das FBI untersuchen den Einbruch und wir sind schon auf die Ergebnisse gespannt. Aber einige Fakten deuten darauf hin, dass der unauthorisierte Zugriff auf die Konten der Opfer durch eine Kombination mehrerer Faktoren möglich war. Zum einen erlaubte ein kleiner Fehler in der iCloud-Implementation das Ausprobieren unendlich vieler Passwörter durch die Angreifer. Normalerweise sperren Web-Services das Konto, wenn jemand mehr als 3-5 Mal mit dem falschen Passwort versucht, sich anzumelden. In der normalen Web-Oberfläche der iCloud war das auch so, doch die Oberfläche von Find My iPhone hatte diese Beschränkung nicht. Das ermöglichte den Hackern, einen so genannten Bruteforce-Angriff durchzuführen, das heißt, sie probierten eine Vielzahl populärer Passwörter aus, bis sie aufgeben mussten oder der Zugriff gewährt wurde. Um iCloud-Konten mit Bruteforce zu hacken, könnten die Angreifer eine Open-Source-App verwendet haben, die auf der beliebten Programmiererseite GitHub ein paar Tage vor dem Datendiebstahl aufgetaucht war.

bruteforce

Zum zweiten, und sogar noch wichtiger, haben viele Stars wahrscheinlich die Regeln starker Passwörter missachtet und sehr einfache Passwörter verwendet. Deshalb haben die Hacker wohl nur die Top-500 der beliebten Passwörter für ihre Bruteforce-Attacke verwendet und trotzdem beeindruckende Ergebnisse erzielt.

Zum dritten – und das ist der wichtigste Punkt – bietet Apple eigentlich einen guten Schutz vor solchen Angriffen, nämliche eine Zwei-Faktoren-Authentifizierung. Man muss nicht extra dazusagen, dass diese effektive Schutzmaßnahme von den Opfern ebenfalls nicht genutzt wurde.

Laut manchen Berichten wurde die Sicherheitslücke schnell geschlossen und schon am Montag war es nicht mehr möglich, iCloud-Konten per Bruteforce-Angriff zu hacken. Zumindest funktioniert dieser Trick nicht mehr, allerdings gibt es keine Garantie, dass es nicht noch weitere Sicherheitslücken gibt.

Übrigens ist es nicht das erste Mal, dass Kriminelle Apple-Nutzer über die iCloud und Find My iPhone angreifen. In diesem Sommer gab es in einigen Ländern Cyber-Erpressungen, bei denen die iPhone/iPads der Opfer plötzlich blockiert waren, indem die Diebstahlsicherung von Find My iPhone missbraucht worden war. Der Sperrbildschirm zeigte eine Lösegeldforderung an.

Schützen Sie sich und Ihre Daten

Die gestohlenen Fotos zeigen, dass unsere Privatsphäre heutzutage immer zerbrechlicher ist – und das gilt sowohl für Stars, wie auch für normale Menschen. Auch wenn Cloud-basierte Speicherdienste schon länger recht beliebt und praktisch sind, so bergen sie doch auch einige erhebliche Risiken.

So speichern zum Beispiel viele Nutzer Scans ihrer Päße und andere vertrauliche Dokumente (oder Fotos) in der Cloud – wobei Sicherheitslücken in solchen Diensten manchmal die Sicherheit der privaten Daten gefährden können. Wenn es um Cloud-Sicherheit geht, wird zudem die Sicherheit des eigenen Computers oder Mobilgeräts oft übersehen. Das Gerät selbst kann ebenfalls zum Zentrum eines Datendiebstahls werden, wenn es durch Schadprogramme mit Spionagefunktionen kompromittiert wird, die Dateien und Zugangsdaten der Cloud direkt an Cyberkriminelle senden können.

Um möglichen Problemen durch Datendiebstahl vorzubeugen, empfiehlt Christian Funk, Senior Security Researcher bei Kaspersky Lab, die folgenden Maßnahmen:

  1. Verwenden Sie starke Passwörter und für jeden Dienst ein eigenes Passwort.
  2. Nutzen Sie Sicherheitslösungen für Ihre Geräte, denn jedes Gerät ist ein Zugangspunkt zu Ihrem Cloud-Speicher.
  3. Schalten Sie die Zwei-Faktoren-Authentifizierung aller Dienste ein, die diese bieten.
    http://youtu.be/APLl2fPAH2g
  4. Überlegen Sie sich, welche Informationen in der Cloud gespeichert und welche dort nicht gespeichert werden sollten. Ihre vertraulichsten Informationen – egal ob privat oder beruflich – sollten Sie niemals der Cloud anvertrauen.
  5. Ein mobiles Gerät kann schnell gestohlen oder verloren werden, deshalb sollten Sie sicherstellen, dass darauf keine vertraulichen Daten gespeichert sind. Wenn das nicht möglich ist, sollten Sie auf jeden Fall Verschlüsselung auf den Geräten nutzen.
  6. Wenn Sie sehr vertrauliche Daten speichern, sowie Fotos und Videos mit Ihrem Gerät machen, sollten Sie sicherstellen, dass diese nicht automatisch in die Cloud hochgeladen werden.

Bevor Sie persönliche Daten teilen oder jemandem erlauben, ein Foto von Ihnen zu machen, sollten Sie sicherstellen, dass das andere Gerät ausreichend gesichert ist, um Ihre privaten Informationen geschützt zu halten

iphone

Tipps

Router-Schutz für MikroTik-Benutzer

Aktualisieren Sie RouterOS des MikroTik-Routers und überprüfen Sie die Einstellungen, um sich vor dem Botnet Mēris zu schützen und ggf. Malware von einem bereits infizierten Router zu entfernen.