Wir brauchen sie mehrmals täglich, sie schützen unsere intimsten Daten im Netz und doch gehen wir so fahrlässig mit ihnen um – die beliebteste Passwortkombination der Schweizer ist «123456» gefolgt von «123456789». Und du kannst dir sicher sein, Platz drei und vier sind nicht minder einfallslos.
Aber auch wenn du dir ein bisschen mehr zu deinem Passwort überlegt hast, wenn du es für mehrere Dienste gleichzeitig brauchst, tragen deine persönlichen Gedanken leider auch nichts zur Sicherheit bei. Hinzu kommt, dass immer wieder Online-Dienste wie «Dropbox», «LinkedIn», oder «Adobe» gehackt werden und die Userdaten in Datenleaks veröffentlicht werden. Dann liegen deine Zugangsdaten einfach so im Netz rum und Hacker haben ein leichtes Spiel.
Wir wissen das, weil wir es ausprobiert haben: Timo von der «Bytes/Pieces»-Redaktion hat nur drei Stunden gebraucht, um in den Instagram-Account von Host Lena reinzukommen.
«Bytes/Pieces» ist das investigative Hintergrundformat für junge Menschen im Netz. Lena Oppong und das Team von SRF Data beantworten Fragen wie: «Woran erkenne ich Fake Follower auf Instagram» oder: «Warum gehen die Schweizer Waffenexporte nur scheinbar zurück?» –- faktenbasiert, seriös und trotzdem unterhaltsam.
Was können Cyber-Kriminelle mit meinen Daten anfangen?
Es ist unwahrscheinlich, dass Cyber-Kriminelle die User-Daten aus einem Leak nehmen und deinen Account gezielt angreifen, ausser jemand hat es auf dich abgesehen. Solche Attacken passieren meist vollautomatisiert. Dann werden tausende Accounts gleichzeitig angegriffen und mit den Zugangsdaten, mit welchen die Hacker Erfolg hatten, versuchen sie auch bei anderen Diensten reinzukommen – das nennt man dann «Credential Stuffing».
Was ist das Problem mit den Datenleaks?
Im Darknet gibt es einen riesigen Markt für Datenleaks. Je neuer die Daten, desto höher der Wert der Daten. Das Problem ist aber, dass die Datenleaks immer grösser werden und immer einfacher zu bekommen sind. Erst Anfang Januar wurde ein neues Datenleak bekannt, das über 700 Millionen E-Mail-Adressen von verschiedenen Diensten enthält und damit zu den grössten Datenleaks gehört – die Collection #1.
Wow, und was steht da drin?
In der Collection #1 alleine gibt es über 600'000 Schweizer E-Mail-Adressen. Das heisst aber nicht, dass auch genauso viele Schweizer betroffen sind. Wahrscheinlich sind es noch viel mehr, da nicht alle Schweizer eine E-Mail-Adresse benutzen, die auf «.ch» endet. Diese 600'000 Adressen haben wir dann nach sicherheitsrelevanten Stellen durchsucht. Und Surprise: Es sind nicht nur über 600 E-Mail-Adressen und dazugehörige Passwörter von Bundesangestellten darin (@admin.ch), sondern auch 350 der SBB (@sbb.ch) oder über 100 von Skyguide (@skyguide.ch), der Flugsicherung.
Das heisst aber nicht, dass all diese Stellen gehackt auch beklaut wurden. Viel wahrscheinlicher ist es, dass die Angestellten ihre geschäftlichen E-Mail-Adressen für externe Dienste benutzten und die Zugangsdaten dort geklaut wurden. Für die Kolleginnen von der Tagesschau und von 10vor10 hat Timo von SRF Data noch weitere Leaks durchsucht. Das Ergebnis kannst du dir hier anschauen.
Und jetzt, wie kann ich mich schützen?
Klar ist: Du brauchst für jeden Account ein eigenes Passwort, das möglichst lange und kompliziert ist. Klar ist auch: so viele Passwörter kann sich kein Mensch merken. Ein Passwortmanager kann dir da helfen. Das ist eine Software, die dazu da ist, für jeden deiner Accounts ein komplett zufälliges Passwort zu generieren. Dann brauchst du nur noch ein Masterpasswort, das vor allem möglichst lange sein sollte. Natürlich kann dein Passwort bei einem Onlinedienst noch immer geklaut und veröffentlicht werden – dagegen kannst du nicht viel machen. Ein Hacker kann aber wesentlich weniger mit einer zufälligen und kryptischen Zeichenkombination anfangen, als mit dem Namen deines Haustieres.
