Im Fadenkreuz von Hackern

Mitte Jänner 2019 gelangte ein riesiges Datenleck an die Öffentlichkeit. Der Inhalt der sogenannten „Collection #1-#5“: zirka 2,7 Milliarden Einträge, darunter unzählige E-Mail-Adressen und Passwörter. Harald Lampesberger, Professor am Department „Sichere Informationssysteme“ am Campus Hagenberg der FH OÖ, hat sich intensiv mit diesen Daten beschäftigt und daraus Erkenntnisse gewonnen und Empfehlungen abgeleitet.

Schlechte Passwörter in gute ändern

„Erschreckend ist, dass 123456 das häufigste Passwort ist und die meisten das gleiche Passwort für viele Dienste haben“, sagte Lampesberger. Was vor allem für den E-Mail-Account kritisch ist. „Wird dieser gehackt, reichen die Folgen von ungewollten Bestellungen bis hin zu Erpressung“, weiß der FH-Professor. Er rät daher festzustellen, ob man selbst vom Datenleck betroffen ist und verweist auf Websites wie jene vom Hasso-Plattner-Institut, die „Leak-Checker“ anbieten. „Man gibt seine Mail-Adresse ein und bekommt das Ergebnis des Checks kostenlos via Mail zugestellt“.

Schritt Nummer zwei: Schlechte Passwörter in gute ändern. „Und bitte für jeden Dienst ein einzigartiges Passwort verwenden. Wenn dieses an die Öffentlichkeit gelangt, ist der Schaden begrenzt“, unterstreicht der IT-Spezialist. Er empfiehlt dafür die Nutzung eines kostenlosen Online-Passwort-Managers. „Dieser generiert die Passwörter selbst und speichert sie in einer verschlüsselten Datenbank, auf die nur ich Zugriff habe“, erklärte Lampesberger. Schritt Nummer drei: Für alle kritischen Dienste wie Mail-Account oder Cloud-Dienste eine Multifaktor-Authentisierung nutzen. Der Google Authenticator etwa generiert Einmal-Passwörter, genannt wurde auch der Yubico Security Key. Das Prinzip: Nachdem man Nutzername und Passwort eingibt, muss das Log-in mit diesem physischen Schlüssel bestätigt werden.

Sich anonym im Internet bewegen

Wie man sich anonym im Internet bewegen kann – darüber referierte Michael Sonntag, stellvertretender Vorstand des Institutes für Netzwerke und Sicherheit der Johannes Kepler Universität in Linz. „Anonymität im Netz ist von Vorteil, wenn manches für Dritte vorerst nicht erkennbar sein soll. Etwa wenn ich als Unternehmer nach Patenten recherchiere“, erklärt Sonntag und verweist für solche Fälle auf das Tor-Netzwerk zur Anonymisierung. Bei Tor (The Onion Router) leiten tausende Rechner auf der ganzen Welt Daten weiter. Für die Nutzung wird eine – legale – Software heruntergeladen. Diese stellt eine Verbindung zum Tor-Netzwerk her und liefert eine Aufstellung aller verfügbaren Server, mit denen sich der Nutzer verbinden kann.

„Das Netzwerk verbindet sich im Regelfall mit mindestens drei Servern“, erklärt Sonntag, der auch das Darknet anspricht. Dort finden sich Webserver, die ausschließlich über das Tor-Netzwerk erreichbar sind. Statt über drei wird jede Verbindung über fünf Server geroutet. „Aber eine Präsenz im Darknet ist für die meisten Firmen meines Erachtens nicht erforderlich“, sagte Sonntag.

Betriebsspionage für 45 US-Dollar

Wie einfach es sein kann, ein Unternehmen auszuspionieren und Produkte zu manipulieren, präsentierten Georg Beham und Markus Sojer von PwC Österreich. Und zwar mit einem vermeintlichen USB-Stick im Wert von 45 US-Dollar und folgendem Szenario: Der – möglicherweise sogar mit dem Unternehmenslogo versehene – Stick wird von einem Mitarbeiter auf dem Firmenparkplatz gefunden. Um den Inhalt des Sticks zu prüfen, wird dieser an das Notebook angesteckt. „Und schon wird ein Virus runtergeladen und der Angreifer hat Zugriff auf die Kamera, das Mikrofon und auf alle Dateien des IT-Systems“, erklärte Beham, der bei dieser Präsentation das Opfer des Cyberangriffes spielte. Im Live-Hack gingen Beham und „Hacker“ Sojer sogar noch einen Schritt weiter. Beham rief die Website eines Auto-Herstellers auf, um sich online nach dem Stand seiner Bestellung zu informieren. Sojer als Hacker gelangte so vor den Augen der Besucher des Praxisforums auch in den Besitz dieser Zugangs- und Kundendaten. Danach hatte er sofort uneingeschränkten Zugriff auf das vernetzte Auto. „Er kann es online rund um die Uhr überwachen und damit auch den Besitzer des Fahrzeuges“, erklärte Beham. Sein Tipp: Keinem USB-Stick bedenkenlos vertrauen!

Veranstaltet wurde das Praxisforum vom Information Security Network der oö. Standortagentur Business Upper Austria, der Wirtschaftskammer Oberösterreich – Fachgruppe Unternehmensberatung und Informationstechnologie (UBIT) sowie Technologie- und Innovationsmanagement (TIM)

Drehscheibe für Informationssicherheit und Datenschutz: Information Security Network (ISN)

Mit dem Information Security Network (www.isn.itcluster.at), das beim IT-Cluster der oö. Standortagentur Business Upper Austria angesiedelt ist, steht eine zentrale Servicestelle zum Thema Informationssicherheit für Unternehmen aller Branchen zur Verfügung. Die wichtigsten Aufgaben sind, Anbieter und Nachfrager –vor allem unter den kleinen und mittleren Unternehmen -im Bereich Informationssicherheit und Datenschutz miteinander zu vernetzen. Damit wird die internationale Sichtbarkeit Oberösterreichs erhöht und die regionale Security-Industrie gestärkt. Das ISN ist Teil der Leitinitiative Digitalisierung des Landes OÖ. Dieses 20-Punkte-Programm für die digitale Zukunft Oberösterreich wurde 2016 gestartet und soll Oberösterreich zur Digitalregion machen.

Hier finden Sie die Präsentationen der Referenten:

Anonym und/oder Identifiziert im Internet (pdf)

Das Datenleck "Collection #1-#5" (pdf)

Betriebsspionage für 45 Dollar - so hoch ist Ihr Cyberrisiko! (pdf)

Fotogalerie