Mat Honan hat alles verloren, was ein moderner Computerfreak verlieren kann: «Innerhalb einer Stunde war mein ganzes digitales Leben zerstört», so der US-Amerikaner. «Erst wurde mein Google-Mailkonto gekapert, dann gelöscht. Danach wurde mein Twitter-Konto gehackt, um darauf rassistische und schwulenfeindliche Parolen zu verbreiten. Das Schlimmste aber: Jemand stahl meine Apple-ID, und die Hacker nutzten sie, um alle Daten auf meinem iPhone, iPad und MacBook zu löschen.»

Zugegeben: Diese Hacker hatten ein gerüttelt Mass an krimineller Energie aufgebracht. Nur so brachten sie unter einem Vorwand und durch ein peinliches Versagen des Apple-Kundendienstes das Mailkonto des «Wired»-Journalisten unter ihre Kontrolle. Und mit der Kontrolle über die Mailadresse, die Honan zum Zurücksetzen seiner Passwörter nutzte, war dessen digitales Ich so gut wie erledigt.

Was Mat Honan widerfuhr, kann jedem und jeder passieren. Passwörter sind in der Welt des digitalen Verbrechens eine harte Währung, denn durch sie gelangen Cyber-Kriminelle an äusserst wertvolle Daten: Kreditkartennummern, Zugang zu Bankkonten, Mailboxen mit vertraulichen Nachrichten, Nutzerkonten bei Online-Geschäften oder persönliche Profile bei sozialen Netzwerken.

Die schlechte Nachricht dabei: Praktisch jedes Passwort lässt sich knacken. Handelt es sich dabei zudem um tatsächlich existierende, sinnhafte Wörter, ist das eine Frage von Sekunden (siehe Interview). Die gute Nachricht: Gesunder Menschenverstand, Phantasie und eine Portion Skepsis helfen oftmals, Angriffe aus dem Cyberspace abzuwehren.

Anzeige

Sicherheitsexperte Guido Rudolphi


Mit einem guten Computer ist jedes Passwort zu knacken, sagt Sicherheitsexperte Guido Rudolphi. Meist reicht es aber, sich auf die Unbedarftheit der Leute zu verlassen.

Guido Rudolphi, 51, ist IT-Sicherheits-Experte und betreibt die Firma Netmon in Zürich. Foto: Privat

Quelle: Thinkstock Kollektion

Beobachter: Wann haben Sie zum letzten Mal ein Passwort geknackt?
Guido Rudolphi: Heute Vormittag.

Beobachter: Ein schwieriges?
Rudolphi: Nein. Meine Frau hat einen neuen Computer, und sie wusste das Passwort des alten nicht mehr.

Beobachter: War das eine grosse Herausforderung?
Rudolphi: Dank dem richtigen Hacking-Programm dauerte es keine zwei Minuten.

Beobachter: Sind Sie auch schon einmal an einem Passwort gescheitert?
Rudolphi: Ja, das hat es schon gegeben.

Beobachter: Und woran lag es?
Rudolphi: Derjenige, der das Passwort verschlüsselt hatte, stammte aus Indien, und er formulierte das Passwort in Hindi. Das war beim ersten Anlauf mein Problem.

Beobachter: Und beim zweiten Anlauf?
Rudolphi: Da habe ich es geschafft. Ich musste aber einen sehr guten Rechner installieren, der dann drei Monate lang Tag und Nacht lief.

Beobachter: Dieser Programmierer hat offenbar gute Arbeit geleistet. Ist die Sicherheitskultur unter Profis generell hoch?
Rudolphi: Im Gegenteil! Auch Profis begehen immer wieder sicherheitstechnische Todsünden. Ich habe unter meinen Kunden zwei Banken, die für ihre Sicherheitssysteme Millionen ausgegeben haben. In beiden Fällen richtete der Systemverantwortliche vor der Inbetriebnahme einen Test-Account ein. Username und Passwort lauteten beide gleich: «Test». Als ich im Auftrag der Banken dann ihr System testete, war ich drin, bevor ich auf drei zählen konnte – und hatte Zugriff auf sämtliche Dokumente.

Beobachter: Welche Fehler treffen Sie bei Passwörtern von Laien am häufigsten an?
Rudolphi: Dass die Leute Passwörter benutzen, die etwas mit ihrem Leben zu tun haben. Oft komme ich an ein Passwort heran, indem ich das Facebook-Konto einer Person anschaue. Wenn dort der Name des Hundes oder eines Kindes erwähnt ist, speise ich das in meine Passwort-Datenbank ein. Schwierig wird es für Hacker erst, wenn jemand ein Passwort kreiert aus etwas, was er nicht mag oder was gar keinen Bezug hat zu seinem Leben.

Beobachter: Das heisst aber auch, dass Sicherheitsfragen, die man beim Einrichten eines Passworts beantworten muss, überhaupt keine Sicherheit bieten, wenn man sie nicht selber formulieren kann.
Rudolphi: Genau. Ich bin erst kürzlich über eine solche Frage gestolpert: «Wo haben Sie Ihre Flitterwochen verbracht?» Völlig schwachsinnig, weil zig Leute die Antwort kennen.

Anzeige

Beobachter: Mit etwas Phantasie und krimineller Energie ist es also einfach, an Passwörter zu gelangen.
Rudolphi: Hacking ist eben nicht nur eine technische Angelegenheit. Am einfachsten gelangt man immer noch an Passwörter, indem man Leute anruft und sie nach ihrem Passwort fragt (mit verstellter Stimme): «Guten Tag, ich arbeite für die Sicherheitsabteilung der Firma XY. Wir hatten leider einen Hackerangriff, und ich habe gesehen, dass man versucht hat, auf Ihr Konto zuzugreifen. Wir müssen sofort ein neues Passwort setzen. Vorher muss ich Sie aber noch identifizieren. Wie lautete gleich noch Ihr altes Passwort?» – und schon ist man drin. Der Trick funktionierte vor 20 Jahren, und heute funktioniert er immer noch.

Beobachter: Ich kenne Leute, die ihre Passwörter auf dem Smartphone gespeichert haben…
Rudolphi: Furchtbar!

Beobachter: Immerhin kann man ein Smartphone durch einen Zahlencode sichern.
Rudolphi: Vergessen Sie diesen Zahlencode! Der nützt überhaupt nichts.

Beobachter: Warum nicht?
Rudolphi: Ich kann ein Smartphone im Labor auseinandernehmen und sehen, was darauf ­gespeichert ist. Wenn es physisch intakt ist, kann man darin lesen wie in einem Tagebuch.

Beobachter: Wie schütze ich dann die Informationen auf dem alten Handy, das ich nicht mehr brauche?
Rudolphi: Zwei Stunden bei 250 Grad im Ofen sollten reichen…

Beobachter: Dann brauche ich neben dem neuen Handy auch noch einen neuen Backofen.
Rudolphi: Dann zersägen Sie das Handy halt. Zugegeben: Ich bin manchmal etwas paranoid. In technischen Belangen vertraue ich niemandem ausser mir selber.