Hacking Teil 5: Was passiert mit geklauten Daten und wie schütze ich mich präventiv?

Aus unserer Expertenreihe: Interview mit einem Hacker

Tobias Madl ist IT-Sicherheitsanalyst und als Europas bester Hacker ausgezeichnet. Im Interview erklärt er, wie viel geklaute Daten im Netz eigentlich Wert sind, wie man herausfindet, ob seine eigenen Daten schon einmal gehackt worden sind und wie man sich präventiv schützen kann.

Zur Vorstellung von Tobias Madl und der Themenübersicht dieser Expertenreihe kommen Sie über diesen Link.

Hacking ist häufig zielgerichtet. Gibt es denn gewisse Branchen, die besonders aufpassen müssen, weil dort viele Hackangriffe geplant oder durchgeführt wurden?

Tobias Madl: Nicht immer werden Angriffe erkannt oder sie werden nicht an die Öffentlichkeit getragen. Das bedeutet wiederum, dass man nur einen kleinen Datensatz zur Verfügung hat, an dem man spekuliert und daran versucht Zahlen zu interpolieren. Von Land zu Land sind Zielbranchen unterschiedlich und es geht meistens darum, welche Branche, welches Wissen in diesem Land und in dieser Firma produziert. Was kann man entwenden und woran haben andere Interesse?

In Deutschland wären das meiner Meinung nach beispielsweise große Autobauer und deren Technologien; in Amerika vielleicht eher Bereiche der Mikroelektronik.

Kleinere Branchen sind eher unwahrscheinlichere Angriffsziele. Die fallen meist eher Kryptotrojanern zum Opfer. Klickt man in einer Mail auf einen infizierten Anhang, werden die Daten verschlüsselt und man kann erpresst werden. Das kam in Deutschland nun immer öfter vor und die kleineren Unternehmen haben dann häufig auch keinen IT-Spezialisten vor Ort, Backups oder ähnliches.

Ein solcher automatisierter Angriff kann für kleinere Unternehmen also schon einen sehr großen Schaden verursachen.

Wie würde man seine Daten wieder zurückbekommen?

Tobias Madl: Man kann z.B. über den Tor-Browser mit den Hackern kommunizieren und dort bezahlen, um einen Schlüssel zu erhalten, der die Daten wieder freischaltet. Der Kundensupport ist sogar ganz spannend und man kann Discounts bekommen, jedoch sollte man dies nur im äußersten Notfall tun, da keine Wiederherstellung garantiert ist und sowas natürlich keinesfalls unterstützt werden sollte!

Solche Hacker sind aber nur aufs Geld aus und ihnen ist es dann auch egal, wer getroffen wird. Letztes Jahr gab es in den USA den Fall, dass einige Krankenhäuser betroffen waren und plötzlich Patientendaten verschlüsselt waren, sodass Operationen nicht mehr durchgeführt wurden konnten. Hier gab es dann eine günstigere Einigung.

Kleine Unternehmen sind also nicht weniger der Gefahr ausgesetzt als Große. Letztere werden nur meistens gezielt angegriffen und müssen sich deshalb aktiv mit recht viel Einsatz und finanziellen Mitteln dagegen schützten. Kleinen Unternehmen würde es schon reichen, wenn sie ein wenig in IT investieren würden.

Wie viel können entwendete Daten im Netz Wert sein?

Tobias Madl: Einfache E-Mailsätze werden für 20 – 70 Cent das Stück verkauft, Kreditkarteninformationen für 1,50€ – 3,00€ und komplette Login-Daten liegen im 1,00 – 2,00€ Bereich. Da kann man sich dann einen Datensatz von 5000 Stück holen und probieren, wo man bei beispielsweise gehackten Paypal-Konten noch Geld herunterziehen oder bei Amazon-Konten noch Produkte bestellen kann.

Hier gibt es zwei Branchen. Einmal diejenigen, die Datensätze verkaufen und damit Geld machen und dann diejenigen, die diese Daten schließlich ausnutzen und missbrauchen.

Die Daten Farmer sind hierbei die Großverdiener, da sie die Daten millionenfach weiterverkaufen und die Käufer sind meistens Privatpersonen, die dann mit automatisierten Prozessen versuchen, lukrative Konten zu finden.

Woher kann ich wissen, ob meine Daten eventuell weiterverkauft worden sind?

Tobias Madl: Es gibt die Website haveibeenpwned.com. Das sind die guten Jungs. Sie haben offiziell entwendete Datensätze gesammelt und abgeschottet gelistet. Man gibt seine E-Mail ein und durchsucht diese Listen, ob diese dort auftaucht. Dann wird einem auch gesagt, was entwendet wurde, also z.B. Login Daten, Nutzernamen oder nur E-Mail-Adressen.

Heißt das, man muss nur auf der gefundenen Seite sein Passwort ändern oder überall dort, wo man dieselbe E-Mail-Passwortkombination verwendet?

Tobias Madl: Überall, wo man die Kombination verwendet hat. Idealerweise hat man jedes Passwort nur einmal verwendet, aber das ist eher ein Traumgedanke.
Das bedeutet man sollte sofort alle Passwörter ändern, die mit dem gefundenen Account in Verbindung stehen und auch das verwendete Passwort überall, wo man es benutzt hat.

Können andere Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung hier helfen?

Tobias Madl: Wenn man einen Account hat, der wichtig ist, dann sollte man definitiv eine Zwei-Faktor-Authentifizierung verwenden. Beim Anmelden bekommt man eine separate Mail oder SMS mit einem Code, den man zusätzlich zum Passwort eingeben muss. Dabei ist es nur wichtig, dass diese zwei Faktoren auch auf getrennten Devices erscheinen.

Was meiner Meinung nach nicht ideal ist, sind beispielsweise Banking Apps, die einen TAN per SMS zuschicken, weil dann sind beide Faktoren also das Passwort zum Banking-Account und der Token auf dem gleichen Gerät.

Aber was, wenn das Gerät verwanzt ist? Da kann man noch kurz bevor der Betroffene absenden klickt, bei der Überweisung die Summe und das Zielkonto ändern, sodass er das gar nicht mitbekommt. Das Passwort hat man bereits mitgelesen und am Ende sieht man noch den generierten Token und kann alles eingeben. Und schon hat man das Geld auf dem Konto.

Deswegen müssen die zwei Faktoren wirklich getrennt sein, das heißt am PC Überweisungen machen und am Handy den Token bekommen beispielsweise oder noch besser einen speziellen Tan-/Tokengenerator verwenden.

Man muss immer das Risiko und die eigene Bequemlichkeit abwägen.

Es gibt tatsächlich Spionage Software, die man auch als Laie schon am Handy installieren kann. So können Tastendrücke oder SMS mitgelesen und Bildschirmfotos werden.

Wie hat sich der Datenschutz seit der EU DSGVO Einführung Ihrer Meinung nach verändert?

Tobias Madl: Die DSGVO ist ein sehr zweischneidiges Schwert. Auf der einen Seite wurden endlich viele Firmen und auch einfache Personen wachgerüttelt, dass ihnen bewusstwird, was für Daten sie da eigentlich sammeln/sammeln lassen, was damit gemacht wird und an wen diese weitergeben werden. Das ist die gute Seite.

Auf der anderen Seite gibt es den Nachteil, dass man eine Schnittstelle für all seine Kunden führen muss, die Daten einzusehen und zu löschen. Man muss also ein riesiges Register dafür mit allen Verwendungsinformationen führen. Wenn man das nicht erfüllt, können wahnsinnig hohe Strafen greifen.

Für Großkonzerne ist das nicht das Problem, da die meisten sowieso schon solche Listen haben. Für kleine Unternehmen ist das jedoch unfassbar schwer. Wenn es jetzt wirklich jemand darauf abgesehen hat, jemanden Schaden zuzufügen, dann schreibt er das Unternehmen an, sagt, er möchte seine Daten, das Unternehmen reagiert nicht in der Frist und bekommt eine saftige Strafe. Und schon wurde Schaden verursacht, nur mit vergleichsweise geringem Aufwand.

DSGVO ist also auf der einen Seite etwas Gutes, um die Unternehmen wachzurütteln und ihnen zu sagen, dass Daten wichtig sind und geschützt werden müssen. Allerdings waren die Einführung und Umsetzung meiner Meinung nach nicht ideal.

 

Lesen Sie ab nächster Woche den 6.Teil unserer Expertenreihe: Interview mit einem Hacker – Fünf Security Tipps eines Hackers und wie man mit Alexa & Co. sicher bleibt.

Haben Sie Fragen zu dem Interview, wollen mehr über Cyber-Security erfahren oder suchen direkt nach einer Lösung für ein Security-Projekt, dann schreiben Sie uns gerne eine Nachricht!