Erfolgreiche Passwort-Hacks – Anbieter riskieren Geldbußen und Schadensersatzleistungen

2012 wurde das Kontaktportal LinkedIn Opfer eines Passwort-Hacks. War damals “lediglich” der Diebstahl von 6 Millionen Benutzernamen und Passwörtern zugegeben worden, hat sich jetzt herausgestellt, dass über 100 Millionen Passwörter aus dem damaligen Hack auf dem Schwarzmarkt gehandelt werden. LinkedIn hat die Echtheit der Daten bestätigt. Ganz abgesehen von dem zweifelhaften Umgang von LinkedIn mit diesem Vorfall, zeigt die hohe Zahl auf dem Schwarzmarkt kursierender Passwörter ein anderes Problem auf: die offenkundig fehlende oder zu schwache Verschlüsselung von Passwörtern durch Diensteanbieter.

Nach den bekannt gewordenen Details des LinkedIn-Vorfalls waren die Passwörter zwar verschlüsselt, aber nur sehr schwach. Die Passwörter waren mit einer Hash-Funktion unleserlich gemacht und damit für den Dieb nicht unmittelbar verwendbar. Keinen Schutz aber bietet eine Hash-Funktion gegen sogenannte Wörterbuch-Attacken: nimmt man ein Standard-Wörterbuch und schickt alle Begriffe durch die gleiche Hash-Funktion, variiert vielleicht noch Groß- und Kleinschreibung, streut Ziffern und Sonderzeichen ein, dann erhält man eine vollständige Liste aller möglichen denkbaren gehashten Passwörter. Nun muss man nur noch die denkbaren mit den erbeuteten Passwörtern vergleichen und wird zu einer Vielzahl der erbeuteten Benutzernamen das richtige Passwort ermitteln können.

Eine einfache Hash-Funktion ist kein ausreichender Schutz. Stand der Technik ist ein erweitertes Verfahren, bei der dem Passwort vor dem “Hashen” ein Zufallswert hinzugegeben wird.  Man spricht auch vom “Salzen” des Passworts. Derart gesalzene Hashwerte sind nur mit erheblich größerem Aufwand zu knacken; einfache Wörterbuchattacken sind wirkungslos. Auch 2012 war dieses erweiterte Verfahren schon Stand der Technik. LinkedIn hatte es nicht umgesetzt.
Massenhafte Passwort-Diebstähle gehören mittlerweile zum Alltag. Immer wieder werden millionenfache Datensätze aufgefunden, bei denen das Passwort offenbar nicht ausreichend gesichert war. Anfang 2015 stellten Staatsanwaltschaft und BSI in Deutschland 18 Millionen Datensätze sicher. Gleichwohl sind Kundendaten, vor allem Passwörter, bei vielen Diensteanbietern offenbar nach wie vor nicht ausreichend gesichert.

Bei einem Angriff auf die Server des DuMont-Zeitungsverlages im April 2016 wurden zehntausende Datensätze von Abonnenten der Berliner Zeitung, Hamburger Morgenpost, Kölnischen Rundschau entwendet. Nach einem Bericht der Welt lagen alle Daten, einschließlich der Passwörter, im Klartext vor. Kein Wunder, dass der DuMont-Verlag per E-Mail allen Kunden empfiehlt, das bei DuMont genutzte Passwort an allen anderen Stellen im Netz zu ändern, an denen das gleiche Passwort verwendet wird.

Was viele Dienstanbieter nicht wissen: wer als Anbieter eines Onlinedienstes Passwörter seiner Kunden unverschlüsselt oder schwach verschlüsselt speichert, riskiert seit Mitte 2015 ernsthafte juristische Konsequenzen. Mit dem IT-Sicherheitsgesetz wurde das Telemediengesetz dahingehend geändert, dass jeder Telemedienanbieter seine Angebote so ausgestalten muss, dass persönliche Daten der Kunden vor Angriffen geschützt sind. Hierbei ist der Stand der Technik einzuhalten. Ausdrücklich verweist § 13 Abs. 7 TMG hierbei auf die Anwendung eines “als sicher anerkannten Verschlüsselungsverfahrens”. Wer dagegen vorsätzlich oder auch nur fahrlässig verstößt, kann zu einer Geldbuße bis zu 50.000 Euro herangezogen werden. Zusätzlich steht es den betroffenen Kunden im Falle eines Schadens auch offen, wegen des Verstoßes gegen diese Verpflichtung zivilrechtliche Ansprüche geltend zu machen.

Bislang sind keine Fälle bekannt geworden, in denen die zuständigen Behörden, in der Regel die Landesmedienanstalten, in manchen Bundesländern auch die Mittelbehörden des Landes, Geldbußen verhängt haben. Doch angesichts der Vielzahl und Bedeutung der Fälle ist das nur eine Frage der Zeit. Jeder Anbieter von Webservern sollte seine Schutzkonzepte vor dem Hintergrund des § 13 Abs. 7 TMG dringend überprüfen.

http://www.heise.de/newsticker/meldung/LinkedIn-Passwort-Leck-hat-desastroese-Ausmasse-3210793.html