Dropbox-Hack: Sichere Passwörter könnten Angreifer früh stoppen

Anlässlich des Dropbox-Hack sind sichere Passwörter in Wirklichkeit nur so sicher wie das schwächste Glied der Dutzenden Dienste, die wir verwenden

Es ist schon ironisch: Um Hacker zu stoppen, greifen wir zu sicherem Passwort-Management mit Passwörtern, an die man sich immer schlechter erinnern kann. Seit jeher werden wir aufgefordert, Passwörter auf keinen Fall irgendwo aufzuschreiben. Doch so viele schwierige Zeichenketten kann sich unser Gehirn gar nicht merken. Was also macht der typische Nutzer? Er prägt sich ein oder zwei „sichere“ Passwörter ein und benutzt die überall. Zufrieden denkt er, er habe seinen Teil zur Abwehr von Hackern getan.

Tja, falsch gedacht. Unsere „sicheren“ Passwörter sind in Wirklichkeit nur so sicher wie das schwächste Glied bei den Dutzenden von Webseiten und Diensten, die wir verwenden. Kurz nach dem LinkedIn-Hack mussten wir erleben, wie es sowohl Yahoo als auch Dropbox erwischte – unsere sicheren Passwörter sehen also plötzlich ganz schön wackelig aus.

Man könnte fast Mitleid haben mit Dropbox. Der Anbieter kostenloser Cloud-Storage hatte schon in der Vergangenheit mit Sicherheitsproblemen zu kämpfen. Diese Woche musste er melden, dass er schon wieder gehackt worden ist – nicht nur „eine kleine Zahl“ von Nutzer-Konten, sondern auch das Konto eines Mitarbeiters wurden geknackt. Und dann wurde es richtig hässlich: Im Speicher des Betroffenen befand sich auch eine Projekt-Datei mit E-Mail-Adressen von Nutzern. Wie viele, das wollte Dropbox nicht verraten. Also waren es wohl zwischen zwei und, nunja, allen, die Dropbox hat.

Wie viele CIOs wissen, ist die hier eingesetzte Hacker-Taktik verbreitet: Sie stehlen Nutzer-IDs und Passwörter von der einen Seite und arbeiten sich damit zur nächsten vor. Mit automatischen Test-Programmen probieren sie dabei aus, ob die zuvor abgegriffenen Kombinationen auch Zugang zu anderen Seiten und Diensten eröffnen.

Bevor Sie Dropbox zu sehr bedauern, bedenken Sie aber bitte, dass es hier schon im Juni 2011 eine große Sicherheitslücke gab. Ungefähr vier Stunden lang waren alle Dropbox-Konten offen; viele Nutzer reagierten darauf, indem sie ihre Dateien mit TrueCrypt verschlüsselten. Im vergangenen April dann gab es ein Problem mit der Dropbox-App für iOS-Smartphones. Dadurch zeigte sich, dass das Unternehmen Login-Daten der Nutzer in unverschlüsselten Text-Dateien aufbewahrt. Doch, wirklich. Sie können das nicht fassen? Ich auch nicht. Soviel zu sicherem Passwort-Management.

Und denken Sie gerade an Ihre eigenen Nutzer? Über deren verdammungswürdige, aber doch menschliche Neigung, überall dasselbe Passwort zu verwenden? Fragen Sie sich, ob sie vielleicht auch bei Yahoo oder Dropbox dasselbe Passwort benutzen wie für den Zugriff auf Ihre Systeme? Das sollten Sie auch.

Dropbox ist ein Beispiel für IT-Konsumerisierung, wie sie von CIOs gehasst wird: Über den Dienst durchdringen Nutzer fast nebenbei ihre Firewall-Systeme – manchmal im direkten Verstoß gegen die geltenden Nutzungsregeln. Ich würde wetten, dass in jedem mittelgroßen Unternehmen zumindest ein Mitarbeiter einen Dropbox-Account hat, ohne sein Ordner Passwort richtig zu schützen – ob offiziell genehmigt oder nicht, ob genutzt vom Büro aus oder nur von zuhause. So etwas ist ein Beispiel aus dem echten Leben dafür, wie IT trotz bester Absichten unsicher werden kann.

Und über Eines sollten wir uns im Klaren sein: Aktuell wurden Yahoo und Dropbox gehackt, davor war es LinkedIn. Nächsten Monat wird ein anderes Angebot dran sein, genau wie im Monat darauf. Die Frage ist weniger, wann etwas passiert, sondern welche Website es erwischt und welche Ihrer Passwörter demnächst in falsche Hände geraten. 

Intelligente CIOs sollten das Ihre tun, um Hacker zu stoppen: Sie müssen ihre Nutzer dazu drängen, auf wirklich sichere Weise mit Passwörtern umzugehen. Das schließt einzigartige Passwörter für jede einzelne Seite mit ein. Man kann aber nicht einfach davon ausgehen, dass ein menschliches Gehirn sich die Hunderte von Passwörtern merken kann, die wir heute so haben. Das klappt einfach nicht, also werden die Nutzer das tun, was am einfachsten und schnellsten ist.

Seien Sie sich dessen bewusst und geben Sie ihnen ein Werkzeug für sicheres Passwort-Management an die Hand, mit dem sie auch ihre privaten Daten schützen können – zum Beispiel ein Speicher-System wie 1Password oder LastPass. Die meisten Nutzer sind durchaus bereit, das Richtige zu tun, solange es nicht zu viel Mühe bereitet. Wir alle sind nur Menschen. Und die Leute, die Dropbox und Yahoo gehackt haben, wissen das nur zu genau.

Erfahren Sie mehr über Datensicherheit

- GOOGLE-ANZEIGEN

ComputerWeekly.de

Close