Mail-Accounts: Sicherheitstechnische Diaspora

https://blog.wdr.de/digitalistan/mail-accounts-sicherheitstechnische-diaspora/

Mail-Accounts: Sicherheitstechnische Diaspora

Kommentare zum Artikel: 22

Jetzt ist also klar, wer hinter dem “Datenklau” steckt: ein 20-Jähriger Schüler aus Hessen. Kein Russe. Kein Geheimdienst. Kein Profi-Hacker, der mit allen Wassern gewaschen ist. Es reicht also der entschlossene Wille zum Doxxing – bestimmt das Wort des Jahres 2019 -, um die Nation tagelang in Atem zu halten. Die Umstände im aktuellen Fall machen deutlich, wie gering die Hürde ist, um an die Daten anderer Leute zu kommen. Es gibt viele Schwachstellen in unserer digitalen Welt. Aber insbesondere eine ließe sich nun wirklich leicht absichern: das E-Mail-Konto.

Die meisten E-Mail-Postfächer sind unzureichend geschützt; Rechte Pixabay

Die meisten E-Mail-Postfächer sind unzureichend geschützt

Weniger Sicherheit als möglich – aus reiner Bequemlichkeit

Wer die Zwei-Faktor-Authentifizierung (2FA) nutzt, macht sein E-Mail-Konto nahezu sturmsicher. Bei der 2Fa muss der Nutzer beim Login nicht nur ein Passwort eingeben, sondern auch noch einen zweiten Faktor – meist einen Code, der per SMS zugeschickt oder durch eine spezielle App erzeugt wird. Die Folge: Wer das Passwort klaut, kann damit nichts anfangen. Denn nur in Kombination mit dem individuell erzeugten Code gibt es Zugriff.

Klar, das ist ein bisschen umständlicher als nur mit Passwort. Hat man sich aber erst mal daran gewöhnt, geht einem das locker von der Hand. Außerdem muss man seinen Rechner oder sein Smartphone nur ab und zu durch den zweiten Faktor freigeben.

https://vimeo.com/310068776

Jörg Schieb über die Folgen des Datenlecks in der Aktuellen Stunde

GMX ist Schlusslicht in Sachen Sicherheit

Vermutlich denken die meisten Leser: Ja, habe ich schon mal gehört – ist mir aber zu schwierig. Ein großer Fehler!

Unverantwortlich ist zudem, dass die, die es besser wissen müssten, nur an ihren Geldbeutel denken. Ob Google, Yahoo, Microsoft, Amazon, Apple, Facebook oder Twitter: Fast überall gibt es die Zwei Faktor Authentifizierung. Sie ist aber nicht voreingestellt, quasi mit Sicherheit als Standard, sondern muss vom User explizit aktiviert werden. Klar, dass das nur ein Bruchteil macht. Die Onlinedienste verzichten auf ein Mehr an Sicherheit, um die User nicht mit mehr Aufwand zu belästigen.

Noch schlimmer sind aber Mail-Dienste wie GMX – immerhin einer der größten Mail-Dienste in Deutschland: GMX bietet schlicht keine Zwei-Faktor-Absicherung an. Ich habe beim Unternehmen nachgefragt. Die Antwort: Im zweiten Quartal 2019 soll sie kommen, die 2FA. Bis dahin ist GMX aber sicherheitstechnische Diaspora. Wem seine Daten wichtig sind, sollte schleunigst wechseln.

Aber auch die Politik trägt Schuld. Anstatt nun ein Cyberabwehrzentrum Plus Deluxe mit Sternchen (und Wochenenddienst) einzuführen, wäre es doch eher angeraten, die Zwei-Faktor-Authentifizierung bei sicherheitsrelevanten Logins (wie beim E-Mail-Postfach) gesetzlich zum Mindeststandard zu erklären. Gefällt nicht allen? Egal! Wir müssen uns im Auto doch auch anschnallen.

 

Über den Autor

Jörg Schieb ist Internetexperte und Netzkenner der ARD. Im WDR arbeitet er trimedial: für WDR Fernsehen, WDR Hörfunk und WDR.de. In seiner Sendung "Angeklickt" in der Aktuellen Stunde berichtet er seit 20 Jahren jede Woche über Netzthemen – immer mit Leidenschaft und leicht verständlich.

22 Kommentare

  1. DollyToll liiert mit ‚Johann von Goethe‘ am

    @ Wer die Zwei-Faktor-Authentifizierung (2FA) nutzt, macht sein E-Mail-Konto nahezu sturmsicher.

    Meines Erachtens: Hier wird das Sicherheitsgefühl durch die Internet-Lobby sturmreif geschossen!

    @ …. die Zwei-Faktor-Authentifizierung bei sicherheitsrelevanten Logins (wie beim E-Mail-Postfach) gesetzlich zum Mindeststandard zu erklären. Gefällt nicht allen? Egal!

    Huhu: Wer bei heise.de liest über Fingerabdruck-Folien und vorgehaltenen Lichtbildern der User, ist von der obigen Feststellung schon vorher weggeblasen … und hat Passwörter mit mind. 20 Zeichen! Natürlich Groß-/Klein-Bst, Zahlen UND Sonderzeichen! Aber das will ja keiner wissen!
    Und das ist auch nur eine Frage der Zeit, da die Rechnerleistung der PCs ja immer leistungsfähiger werden … für die Entschlüsselung …Passwort-Entschlüsselung aus dem Kinderzimmer … und nicht nur für die sogen. KI … ,gelle! Schulfach: KI, nicht Topflappen-Häkeln für den Osterhasen!

    Und dann träumen ‚wir‘ vom smarten Home …

    Jauh: dann lassen sich bei dieser Wetterlage am Alpenrand bestenfalls Tür und Tor nicht mehr schließen, der Strom für die Heizung ist gesperrt und wie in Norddeutschland passiert, gibt amazon über den Lautsprecher dröhnende Disco-Musik dazu, hahaha?

    Eins ist auch meines Erachtens klar: Das Einfallstor E-Mail-Konto für Phishing und Identitätsdiebstahl wird unterschätzt! Wegen unverantwortlicher Passswort-Sicherheit/-Pflege seitens der Internet-Wirtschaft und des Users.

    Die politische Dimension ist ja: Warum ist bei dem aktuellen Doxxing-Fall kein AfDler dabei! Und wie sieht das Familienleben dieses Schülers aus, der wegen unliebsamen Äußerungen gleich Ruf-Mord begehen muss! Keine demokratische Diskussionskultur innerhalb der Familie? Keimzelle der Gesellschaft … Hitler wusste auch das aufkommende Radio für seine Propaganda-Maschinerie zu nutzen! Jetzt ist es das sogen. (a-)soziale Netz mit Ihren Trollen und Hetzern!

    Daher fordere ich, dass vor Wahlen mind. vier Wochen keine politischen Tweets, etc., verschickt werden dürfen! Also politische Fastenzeit!

    Wer weiß, was noch alles im Dark-Net zu ‚kaufen‘ ist und dann bei entsprechender politischer Wetterlage genutzt wird …

    In diesem Sinne einen schönen Sonntag auf der Coach, bei dieser heutigen Wetterlage in NRW!

    • @DollyToll: Das alles ist KEIN Argument gegen 2FA als Standard. Auch wenn 2FA keinen 100%igen Schutz bietet – was mir bewusst ist -, so erzielt man dadurch doch einen Boost in Sachen Absicherung. “So mal eben” ein geklautes Passwort ausprobieren oder nutzen – das geht jedenfalls nicht. Es können auch Mechanismen sinnvoll sein, die keine 100%igen Erfolg bieten, aber doch die Lage erheblich verbessern.

      • DollyToll am

        Danke für die Antwort.
        Meine Vorstellung ist nach der Auseinandersetzung mit diesem Blog, dass z.B. für Online-Shops die Authentifizierung mit der E-Mail-Adresse verboten werden sollte!
        Frage in die Runde: wer hat schon hierbei sichere und UNTERSCHIEDLICHE Passwörter …. ?
        @superwiser: Den Vorschlag, sich mit dem selbst gemachten Foto als eigene Sicherungs-Datei beim Anbieter auszuweisen, finde ich prima!
        @Schieb: Meinen Haustürschlüssel habe ich eigentlich auch immer dabei … Die Passwörter sind natürlich im ‘Safe’ – aber nicht online …

  2. superwiser am

    Machbar wäre doch, den User seine ganz persönliche “Eintrittskarte” selber drucken zu lassen! So wie bei Gesichtserkennung einfach ein Foto von irgendeinem Gegenstand oder einem Schriftstück, meinetwegen den letzten Steuerbescheid oder seine Krankenversicherungskarte oder das letzte Parkticket oder den Mitgliedsausweis der Stadtbibliothek usw. als Zugangsberechtigung machen lassen. Wie bei der Gesichtserkennung oder dem Fingerprint müsste solches möglich sein! Hier könnten sich die Programmierer mal versuchen. Es könnte sich auch um irgendein zufällig aus der Zigarrenkiste geholtes Foto der Großmutter handeln. Hier sollte der User völlig freie Hand haben. Machbar ist alles, es muss nur gewollt sein.

  3. Im dieser Zwei-Faktor-Unsinn. Mit Handy ist wesentlich umständlicher und wie funktioniert dies dann überhaupt mit Programmen, wie Outlook?

    Auf der Mail Seite müsste ich es jedes Mal erneut eingeben.

    Außerdem, müsste ich eine Handynummer angeben, was ich bisher vermieden habe. wohl noch nichts von Datenschutz und Hackern gehört?

    Keine Ahnung warum die Experten meinen, dass dadurch alles sicherer würde. Der 20jährige soll die Passwörter doch gekauft haben. Vermutlich nicht einmal aus einem Hack, sondern den üblichen Sicherheitslecks der Seiten. Da hilft Zwei-Faktor-Unsinn nichts. Dann sind zudem nicht nur die Passworte, sondern auch die Telefonnummern oder gar biometrische Daten weg. Und wie viele Handys brauche ich dann, damit die Nummer sicher bleibt? Einmal das Smartphone, dann das für Bankgeschäfte und noch eins für Email? Und wie sicher ist das, wenn man die GMX App nutzt und das gleichen Handy für 2FA?

    Außerdem können die Seiten durch entsprechende Software sicher und zuverlässig Brute-Force-Angriffe erkennen. Da muss überhaupt nichts umständlicher gemacht werden, sondern es brauch intelligent Lösungen und nicht so einen Cyberpopulismus.

    • @ukrics: Alles falsch. Den Zusatzcode muss man — wenn man möchte — an einem Geräte/in einer Software nur einmal eingeben, danach bleibt das Gerät/die Software eine Weile freigeschaltet. Eine Handynummer ist heute fast nie erforderlich. Der zweite Code wird in Apps oder Programmen oder USB-Keys erzeugt, ohne SMS.

      Schade, dass Sie nicht sehen, dass es dadurch sicherer würden. Es liegt doch auf der Hand. Sie schreiben ja selbst: Der 20-Jährige soll die Passwörter gekauft haben. Eben! Selbst wenn man sie ihm schenkt: Ein mit 2FA abgesichertes Konto bleibt versperrt. Weil der zweite Code fehlt. Reicht das als Argument?

  4. Baka Cirno am

    Noch eine Bemerkung zur 2FA in Verbindung mit meinem Handy: In letzter Zeit häufen sich die Anrufe von dubiosen Leuten bei meinem Festnetztelefon. Herr Scheuer gab gestern in der Sendung von Herrn Lanz an, auf die Frage, was von ihm geklautes veröffentlicht wurde: Seine Handynummer. Und die war noch nicht mal geheim, sie würde im Telefonbuch stehen. Nur, als sie nun öffentlich im Internet zu finden war, als Eintrag in den nun rumgereichten Paketen des Datenleaks, hatte er einige komische Anrufe, wohl von Leuten, die mal die Nummer ausprobieren wollten und sich dann nicht mal meldeten. Im Umkehrschluss: Wahrscheinlich hätte ihn niemand angerufen, wenn seine Nummer nicht in den geleakten Dateien aufgeführt worden wäre, obwohl sie öffentlich im Telefonbuch stehen soll. Zur 2FA müsste ich meine Handynummer in den Datenbanken der Dienste angeben, die mir zwar alle versichern, dass sie den Datenschutz ernst nehmen würden. Das haben mir viele andere Dienste auch schon versprochen, renomierte große Firmen, die dann doch sich meine Daten mit eMail-Adresse klauen ließen. Da könnte ich meine Handynummer ja auch gleich wieder öffentlich ins Netz stellen! Das Problem mit der 2FA ist leider keine wirkliche Sicherheit. Sie bringt dann auch wieder andere Probleme mit sich! Ich stelle an Daten selber nur Sachen ins Netz, die öffentlich zugängig sind, mit Ausnahme natürlich Daten von den eMail-Adressen. Die sind für jeden der Schwachpunkt schlechthin. Trotzdem werden eMail-Adressen, zum einlogen, bei den meisten Diensten gewünscht und dienen heute zur Identifizierung von jedem, selbst wenn er die Cookies nach jeder Sitzung in seinem Browser löscht, wenn er denn die Auto-Einfügen-Funktion benutzt. Leichter kann man auch nicht an die eMail-Adressen kommen. Es gibt keine Sicherheit, man kann es nur kompliziert genug für den Hacker machen. Aber, wenn es dem Anwender auch noch kompliziert gemacht wird, da steige ich lieber aus!

    • Diese Behauptung ist komplett falsch. Für 2FA braucht es keine Handynummer, nicht mal mehr unbedingt ein Handy. Auch Fingerabdruck oder Gesichtserkennung können als zweiter Faktor fungieren. Oder der Passwort-Manager generiert den Code. Oder ein USB-Key.

  5. Tja Herr Schieb, als alter Autofahrer möchte ich hier einbringen, dass mich das Ganze an alte Zeiten erinnert. Als der Sicherheitsgurt für Fahrzeuge ab Baujahr 69 zwingend wurde, gab es sehr viel Protest bei den Autofahrern. Es wurde behauptet, dass der Gurt während der Fahrt den Lenker behindern würde. Weiterhin galt dieses Sicherheitssystem bei Feuer oder nach dem Sturz in einen Kanal oder Fluss als Rettunshinderniss mit verheerenden Folgen. Ende vom Lied, alle schnallken sich heute an und dazu kamen noch die “Luftprallsäcke” oder, neudeutsch, Airbags! Aber wodurch wurden die Kisten auf unseren Straßen wirklich sicherer? Ja, es waren die Bremsen! Anstelle von Simplex-Backenbremsen mit aufgenieteten Bremsbelägen kamen Scheibenbremsen! Und wie ist es nun mit der IT-Sicherheit? Die wird einfach von den Herstellern des Internets sträflich vernachläßigt! Nach dem Motto: “Vogel friss oder stirb!” werden den Nutzern von “Windows” und Co, Betaversionen verkauft und bei näheren Betrachtungen, alle Nase lang Upgrades oder Nachbesserungen in Form von “Updates” aufgezwungen! Also, hätte das die Autoindustrie genauso gemacht, hätte man den Fahrern zu Gurt und Sack auch noch Regenschirm und Ankerwinde verkauft! Die Programierer müssen, anstelle von Zukunftsthemen über “Smart”-Homes und autarkes Fahren zu grübeln, einfach mal ihre Arbeit machen! Sozusagen die “Scheibenbremse” erfinden!

  6. Baka Cirno am

    Sehe gerade in der Aktuellen Stunde, dass Sie die 2FA als Stand vorschreiben würden. Dann könnte ich mich von den Internetdiensten ja besser verabschieden. Die 2FA per SMS ist heute schon als unsicher eigestuft. Dann würde mein Handy also schon mal ausscheiden. Ein Smartphone habe ich bis heute nicht, einfach keine Anwendung für und ist mir zu unsicher, als dass ich da gerne mein Smartphone auch noch mit Internetdiensten verbindet haben möchte! Und wenn gerade kein Handy zur 2FA zur Verfügung steht, weil gerade der Akku leer ist, kann ich den Internetdienst nicht nutzen. Also, unbequemer geht es wirklich nicht. Fingerabdrucksensor ist bis heute noch kein Standard bei allen Geräten. Selbst die Gesichts- und Augenerkennung wurde mit einfachen Fotos überlistet. Und wenn die 2FA zum Standard werden sollte, was soll man dann mit IoT-Geräten anfangen? Auch wenn die Hacker immer besser werden, also auf Internet ganz verzichten, wenn keine 2FA zur Verfügung steht? Mit KI werden die Hacker weiter aufrüsten. Die 2FA per SMS galt früher als absolut sicher. Auch die modernen 2FA werden wohl in nächster Zeit weiter überlistet werden. Die 2FA bietet als keinen wirklichen Schutz, macht aber vieles noch unbequemer. Wir arbeiten mit alter PC-Technik auf einem Internetdienst, der mal zum einfachen und freien Dokumentenaustausch entwickelt wurde. Der ganze andere geschäftliche Kram wurde von Leuten entwickelt, denen die Sicherheit der Nutzer noch nie interessiert hat. In jeder AGB ist die Garantie ausgeschlossen. Wenn der Nutzer den Dienst verwendet ist er also selber schuld. Wenn schon die Software des Dienstanbieters nicht sicher ist, weil es sogar auch von Regierung, Polizei und Geheimdiensten nicht gewünscht wird, was bringt mir da die vermeintliche Sicherheit eine 2FA-Lösung? Ich fände es sinnvoller, Herr Schieb, wenn Sie für mehr Sicherheit von den Dienstanbietern und der Hintertürenschließung von Regierung, Polizei und Geheimdiensten fordern würden!

    • Jörg Schieb am

      Ich habe es schon mehrfach gesagt: 2FA erzwingt KEIN Handy, auch KEINE Herausgabe von Rufnummern, bringt KEINEN 100%igen Schutz, aber doch einen dramatischen Fortschritt an Sicherheit. Ohne 2FA: Türe ist zwar zu, aber Schlüssel liegt unter der Matte. Mit 2FA: Tür ist abgeschlossen und zusätzlich verriegelt. Ich würde mich immer für die zweite Variante entscheiden.

  7. Egal wie die 2FA am Ende technisch umgesetzt wird, sie ist immerhin ein Anfang, auch wenn der E-Mail-Inhalt dadurch nicht weniger öffentlich ist. Aber darum geht es hier ja gerade nicht. Ich denke, dass einfach ein Umdenken bei uns allen stattfinden muss. Jeder kann einiges für seine digitale Sicherheit tun, selbst wenn man nicht als technikaffiner Mensch geboren ist. Die letzten Jahre haben gezeigt, dass man wohl nicht auf Freiwilligkeit setzen kann. Vielleicht muss hier auch eine Art Zwang her, auch wenn ich gerade keine Idee habe, wie der aussehen könnte.

  8. G. Mathey am

    Vielen Dank Herr Schieb für diesen Beitrag!
    Tendenziell halte ich meine Passwörter zwar für recht sicher (sinnlose Zahlen/Zeichenkombis verschiedener Länge und Services), allerdings würde ich gerne wissen, welche Alternative Sie anstatt GMX empfehlen würden? Idealerweise mit Server in Deutschland oder zumindest innerhalb der EU.

    Vielen Dank im Voraus!

  9. Jetzt mal die Kirche im Dorf lassen. Das Abgreifen von SMS und erst Recht das Abgreifen durch Apps wie Google Authenticator erzeugte Codes ist derart schwierig – wenn auch möglich -, dass ein erheblich höherer Aufwand betrieben werden muss. Der Sicherheitsaspekt steigt enorm, um ein Vielfaches, ohne großen Aufwand. Im aktuellen Fall wäre damit kein Konto geknackt worden . Das lässt sich doch nicht bestreiten.

    • Manche Experten sehen das ganz anders, z. B.:
      wccftech.com/ss7-stop-sms-two-factor-authentication
      oder
      theverge.com/2017/9/18/16328172/sms-two-factor-authentication-hack-password-bitcoin
      Und das Problem ist recht lange bekannt und trotzdem wohl immer noch eine beliebte Angriffsstelle – und m. E. zwar sicherer (“Kirche im Dorf”) aber dennoch unsicher:
      heise.de/-2301494

    • Unsinn, der Fisch stinkt vom Kopf, was nützt so etwas, wenn die Seiten gehackt werden können und man auch vergleichsweise einfach Handynummern klauen kann.
      Bei der Sicherheit der Seiten muss man anfangen.

      • @ulrics: Bei der Sicherheit der Seiten muss man anfangen? Sehe ich anders. Denn das eine hat mit dem anderen nicht unbedingt etwas zu tun. GLEICHZEITIG die Sicherheit zu verbessern ist der richtige Ansatz.

  10. 2FA sicher durch SMS? Wirklich? Nö!
    (*)”… Eigentlich ist der Zugriff auf diese Daten durch Zwei-Faktor-Authentifzierung (2FA) abgesichert, wobei der zweite Faktor SMS-basiert war, wie Reddit erläutert. Man habe aber lernen müssen, DASS SMS ALS ABSICHERUNG NICHT SICHER GENUG SEI, denn ‘der hauptsächliche Teil des Angriff erfolgte über ein Abgreifen der SMS’. …”
    (*)Quelle: heise.de/-4127135

    • Ja, alles richtig,. Aber das Risiko, trotz 2Fa geknackt zu werden, ist um 10er Potenzen geringer als das, ohne 2FA Opfer zu werden. Man kann auch trotz Airbag und Anschnallen Gesichtsverletzungen beim Unfall davon tragen. Ist deswegen ein merkwürdiges Argument.

Fehler beim Kommentieren

Ihr Kommentar konnte aus folgenden Gründen nicht abgeschickt werden:

  • Es gab einen kritischen Fehler auf deiner Website.

    Erfahre mehr über die Problembehandlung in WordPress.

  • Top