News 07.08.2012, 09:36 Uhr

Daten-Totalverlust und was man daraus lernen kann

Ein Journalist von Wired hat nach einem Angriff auf seine Apple-ID alle Daten - auch lokal gespeicherte - verloren. Wie konnte das passieren, und wie kann man das für sich selbst verhindern?
Mat Honan hat die spannende Geschichte, wie er gehackt wurde, ausführlich auf wired.com publiziert. Scheinbar aus dem Nichts wurden ihm sämtliche Geräte (Smartphone, Tablet, Notebook) gelöscht, er hat alle Daten verloren und konnte lange Zeit keines der Geräte wirklich benutzen. Er musste das Handy eines Kollegen ausleihen, um überhaupt den Support von Apple kontaktieren zu können.
Was war passiert? Ein Hacker hatte sich Zugang zu Honans Amazon-Account verschafft. Dieser war laut Honan mit einer Information über seine Apple-ID verknüpft. Die letzten vier Ziffern seiner Kreditkarte waren in Amazon ebenfalls sichtbar; diese Information genügte dem Hacker, sich bei Apple als Honan auszugeben und die Zugangsdaten für die Apple-ID zu erhalten. Die Apple-ID mit ihrem Zugang zur iCloud bot dem Hacker die Möglichkeit, auf Honans Apple-Geräte zuzugreifen und deren Daten zu löschen. Das Ziel des Hackers war der Twitter-Account von Honan, den er via iCloud kaperte. Dass dann auch noch sein Google-Account in Flammen aufging, ist nur noch eine Nebenepisode der Geschichte.
Erste Gefahr: Verknüpfung
Wenn alle Online-Konten miteinander verknüpft sind, ist das zwar im Alltag praktisch, aber ebenso praktisch für einen Eindringling. Er kann sich relativ leicht Zugang zu allen weiteren Konten verschaffen. Es genügt, wenn eine der verknüpften Plattformen unsicher ist, sei es durch ein schlecht gewähltes Passwort, durch leicht beantwortbare Sicherheitsfragen im Stil von «Wo sind Sie geboren?» oder andere Schwachstellen. Dann können die anderen Accounts noch so sicher sein.
Zweite Gefahr: die Cloud
Der Sinn eines Cloud-Dienstes ist es, häufig benötige Daten online zu speichern. Das ist an und für sich ein Risiko. Je intensiver die Cloud genutzt wird, desto mehr sensible Daten sind bei einem erfolgreichen Angriff zugänglich. Je mehr automatische Funktionen ein Cloud-Service anbietet, desto mehr Schaden kann auch ein Eindringling anrichten. Teilt man seine Daten in mehrere Accounts auf, schwindet der Nutzen des Dienstes. Je bequemer der Cloud-Dienst, desto risikoreicher.
Praktische Fernsteuerung, auch für einen Eindringling: iCloud.com
Dritte Gefahr: die Fernlöschung
Eine Funktion der Apple iCloud ist die Fernlöschung (englisch «Remote Swipe»). Honan hatte sie für alle seine Geräte aktiviert. In den iCloud-Einstellungen des iPhones gibt es einen Punkt «Mein iPhone suchen», dasselbe gibt es für alle anderen Apple-Geräte, die mit iCloud interagieren. Wird diese Option aktiviert, hat der Besitzer des iCloud-Accounts von überall her Zugriff auf das Gerät: er kann es lokalisieren, wenn er es verloren hat, eine Codesperre aktivieren, eine Meldung auf das Gerät schicken oder eben die gesamten Daten löschen, damit ein Fremder keinen Zugriff darauf hat. Die Fernlöschung ist also eigentlich eine Sicherheitsfunktion. Nur: wenn ein Fremder Zugriff auf den iCloud-Account hat, kann dieser all die erwähnten Dinge ebenfalls tun. Dazu muss man nicht im Besitz eines verknüpften Geräts sein. Über icloud.com ist der Account von jedem Webbrowser aus zugänglich.
Vierte Gefahr: keine Backups
Der übelste Fehler von Honan war, dass er offenbar keine lokalen Backups seiner Daten gemacht hatte. Dafür gibt es eigentlich keine Erklärung, ausser reiner Faulheit. Ein Tech-Journalist sollte es eigentlich besser wissen.
Wie schützt man sich?
Das Sicherste ist natürlich, wenn Online-Accounts nicht verknüpft und in der iCloud gar keine sensiblen Daten vorhanden sind. Das macht das digitale Leben jedoch einiges komplizierter.
Wer die iCloud wirklich nutzt, für den ist die Fernlöschung durchaus eine sinnvolle Idee. Nur sollte man dann über lokale Daten-Backups derjenigen Geräte verfügen, auf denen die Fernlöschung aktiviert ist. Und diese Daten-Backups müssen natürlich auf einem Rechner liegen, der nicht seinerseits ferngelöscht werden kann. Honan hätte dazu nur die entsprechende Einstellung auf dem Mac deaktivieren und/oder ein Backup auf einer externen Festplatte erstellen müssen.
Ein mobiles Gerät braucht auf jeden Fall eine ständig eingeschaltete PIN-Sperre. Ist dies nicht der Fall, kann die Fernlöschung vom Dieb einfach in den Einstellungen deaktiviert werden. Ausserdem kann ein Gerät natürlich nicht ferngelöscht werden, wenn das Gerät nicht mit dem Internet verbunden ist. Und schliesslich dauert es offenbar einige Zeit, bis die Löschung komplett ist, denn natürlich ist sicheres Löschen gefordert, also Überschreiben mit Leerdaten. Die Fernlöschung ist also kein Allheilmittel.
Ein totaler Schutz ist auch deshalb nicht möglich, weil die Dienste zu wenig sicher sind. Wie Honan detailliert ausführt, lag der Fehler eben nicht nur bei ihm selbst. Amazon, Apple und Google haben alle Schwachstellen, die zwar für sich alleine keine grosse Gefahr darstellen, aber wer die Puzzleteile zusammensetzt, kann sich die jeweils nötigen Informationen erschleichen, um an die Login-Daten zu gelangen.

Autor(in) David Lee



Kommentare
Avatar
Kovu
08.08.2012
Wie schützt man sich? Das Sicherste ist natürlich, wenn Online-Accounts nicht verknüpft und in der iCloud gar keine sensiblen Daten vorhanden sind. Das macht das digitale Leben jedoch einiges komplizierter. Was heisst da komplizierter? Man sollte sich schlicht und einfach nicht solcher Faulheit ergeben. Nur weil es möglich ist, etwas zu machen, heisst das noch lange nicht dass es das richtige ist. Also Hirn einschalten, sich die Passwörter für verschiedene Konti merken (falls das wirklich nicht geht wenigstens mit einem Master Passwort auf dem Gerät sichern), und halt 2 bis 3 Klicks mehr machen um Daten per USB zu sichern... Abgesehen davon geht's auch ohne Cloud. War die vergangenen 25 Jahre so, und stimmt auch heute noch, wie viele Leute beweisen.

Avatar
jodelboy
08.08.2012
Der Artikel auf wired.com ist ja wohl der Hammer :daumenhoch: Da sieht man mal, wo die Sicherheitsprobleme wirklich liegen. Sicherheitsfragen? "Können Sie mir bitte helfen, ich habe meine Antwort vergessen" -> Zugriff aufs Konto :eek: Wieso werden bei Online-Konten nicht solche Systeme wie beim Handyabo eingeführt? PIN = Passwort, PUK (viel komplizierter) = Rücksetzpasswort. Diese Nummern stehen aber nur auf einem Zettel Papier, der nach Hause geschickt wird (oder in einem SMS). Überall wo wichtige Daten sind, müsste eine zweite Sicherung eingebaut werden :cool: Ich will nicht in der Haut des Typen stecken, wenn seine Tochter mal älter wird und meint "Papi, gits denn vo mir kei Föteli als Baby?" :rolleyes: