2012 wurde das Kontaktportal LinkedIn Opfer eines Passwort-Hacks. War damals “lediglich” der Diebstahl von 6 Millionen Benutzernamen und Passw\u00f6rtern zugegeben worden, hat sich jetzt herausgestellt, dass \u00fcber 100 Millionen Passw\u00f6rter aus dem damaligen Hack auf dem Schwarzmarkt gehandelt werden. LinkedIn hat die Echtheit der Daten best\u00e4tigt. Ganz abgesehen von dem zweifelhaften Umgang von LinkedIn mit diesem Vorfall, zeigt die hohe Zahl auf dem Schwarzmarkt kursierender Passw\u00f6rter ein anderes Problem auf: die offenkundig fehlende oder zu schwache Verschl\u00fcsselung von Passw\u00f6rtern durch Diensteanbieter.<\/p>\n
Nach den bekannt gewordenen Details des LinkedIn-Vorfalls waren die Passw\u00f6rter zwar verschl\u00fcsselt, aber nur sehr schwach. Die Passw\u00f6rter waren mit einer Hash-Funktion unleserlich gemacht und damit f\u00fcr den Dieb nicht unmittelbar verwendbar. Keinen Schutz aber bietet eine Hash-Funktion gegen sogenannte W\u00f6rterbuch-Attacken: nimmt man ein Standard-W\u00f6rterbuch und schickt alle Begriffe durch die gleiche Hash-Funktion, variiert vielleicht noch Gro\u00df- und Kleinschreibung, streut Ziffern und Sonderzeichen ein, dann erh\u00e4lt man eine vollst\u00e4ndige Liste aller m\u00f6glichen denkbaren gehashten Passw\u00f6rter. Nun muss man nur noch die denkbaren mit den erbeuteten Passw\u00f6rtern vergleichen und wird zu einer Vielzahl der erbeuteten Benutzernamen das richtige Passwort ermitteln k\u00f6nnen.<\/p>\n
Eine einfache Hash-Funktion ist kein ausreichender Schutz. Stand der Technik ist ein erweitertes Verfahren, bei der dem Passwort vor dem “Hashen” ein Zufallswert hinzugegeben wird.\u00a0 Man spricht auch vom “Salzen” des Passworts. Derart gesalzene Hashwerte sind nur mit erheblich gr\u00f6\u00dferem Aufwand zu knacken; einfache W\u00f6rterbuchattacken sind wirkungslos. Auch 2012 war dieses erweiterte Verfahren schon Stand der Technik. LinkedIn hatte es nicht umgesetzt.
\nMassenhafte Passwort-Diebst\u00e4hle geh\u00f6ren mittlerweile zum Alltag. Immer wieder werden millionenfache Datens\u00e4tze aufgefunden, bei denen das Passwort offenbar nicht ausreichend gesichert war. Anfang 2015 stellten Staatsanwaltschaft und BSI in Deutschland 18 Millionen Datens\u00e4tze sicher. Gleichwohl sind Kundendaten, vor allem Passw\u00f6rter, bei vielen Diensteanbietern offenbar nach wie vor nicht ausreichend gesichert.<\/p>\n
Bei einem Angriff auf die Server des DuMont-Zeitungsverlages im April 2016 wurden zehntausende Datens\u00e4tze von Abonnenten der Berliner Zeitung, Hamburger Morgenpost, K\u00f6lnischen Rundschau entwendet. Nach einem Bericht der Welt lagen alle Daten, einschlie\u00dflich der Passw\u00f6rter, im Klartext vor. Kein Wunder, dass der DuMont-Verlag per E-Mail allen Kunden empfiehlt, das bei DuMont genutzte Passwort an allen anderen Stellen im Netz zu \u00e4ndern, an denen das gleiche Passwort verwendet wird.<\/p>\n
Was viele Dienstanbieter nicht wissen: wer als Anbieter eines Onlinedienstes Passw\u00f6rter seiner Kunden unverschl\u00fcsselt oder schwach verschl\u00fcsselt speichert, riskiert seit Mitte 2015 ernsthafte juristische Konsequenzen. Mit dem IT-Sicherheitsgesetz wurde das Telemediengesetz dahingehend ge\u00e4ndert, dass jeder Telemedienanbieter seine Angebote so ausgestalten muss, dass pers\u00f6nliche Daten der Kunden vor Angriffen gesch\u00fctzt sind. Hierbei ist der Stand der Technik einzuhalten. Ausdr\u00fccklich verweist \u00a7 13 Abs. 7 TMG hierbei auf die Anwendung eines “als sicher anerkannten Verschl\u00fcsselungsverfahrens”. Wer dagegen vors\u00e4tzlich oder auch nur fahrl\u00e4ssig verst\u00f6\u00dft, kann zu einer Geldbu\u00dfe bis zu 50.000 Euro herangezogen werden. Zus\u00e4tzlich steht es den betroffenen Kunden im Falle eines Schadens auch offen, wegen des Versto\u00dfes gegen diese Verpflichtung zivilrechtliche Anspr\u00fcche geltend zu machen.<\/p>\n
Bislang sind keine F\u00e4lle bekannt geworden, in denen die zust\u00e4ndigen Beh\u00f6rden, in der Regel die Landesmedienanstalten, in manchen Bundesl\u00e4ndern auch die Mittelbeh\u00f6rden des Landes, Geldbu\u00dfen verh\u00e4ngt haben. Doch angesichts der Vielzahl und Bedeutung der F\u00e4lle ist das nur eine Frage der Zeit. Jeder Anbieter von Webservern sollte seine Schutzkonzepte vor dem Hintergrund des \u00a7 13 Abs. 7 TMG dringend \u00fcberpr\u00fcfen.<\/p>\n
http:\/\/www.heise.de\/newsticker\/meldung\/LinkedIn-Passwort-Leck-hat-desastroese-Ausmasse-3210793.html<\/a><\/p>\n","protected":false},"excerpt":{"rendered":" 2012 wurde das Kontaktportal LinkedIn Opfer eines Passwort-Hacks. War damals “lediglich” der Diebstahl von 6 Millionen Benutzernamen und Passw\u00f6rtern zugegeben worden, hat sich jetzt herausgestellt, dass \u00fcber 100 Millionen Passw\u00f6rter aus dem damaligen Hack auf dem Schwarzmarkt gehandelt werden. LinkedIn … Continue reading