Gehackte Daten: Illegaler Online-Handel boomt

Thorsten Krüger erläutert in seinem Kommentar eine offensichtlich unterschätzte Gefahr

[datensicherheit.de, 16.02.2019] Thorsten Krüger, „Director Sales IDP DACH & CEE“ bei Gemalto, warnt davor, den Online-Handel mit gehackten Daten zu unterschätzen: Aktuell mache ein Bericht über 620 Millionen angebotene Zugangsdaten die Runde, welche im Darknet für weniger als 20.000 US-Dollar angeboten würden. Trotz neuer Vorgaben wie der Datenschutz-Grundverordnung (DSGVO) scheine die Lage nicht besser zu werden. Besonders kritisch sei, dass gerade beim Thema Schutz persönlicher Informationen bekannte „Best Practices“ nicht umgesetzt würden. Nachfolgend gibt Krüger drei Schlussfolgerungen zur Kenntnis.

1. Schutz von Accounts allein durch Passwörter nicht mehr zeitgemäß

In vielen Organisationen werden Zugänge nur durch Kennwörter geschützt. Zudem wird den Nutzern die Wahl des Passwortes überlassen. Diesen Faktor planten die Kriminellen mit ein, so Krüger: „Die Hintermänner bewerben im Beispiel ,Credential-Stuffing‘-Attacken.“ Hierbei werden demnach E-Mail-Passwort-Pärchen bei unterschiedlichen Online-Plattformen ausprobiert, obwohl der Bezug zum Anbieter zunächst nicht besteht. Durch die Automatisierung der Angriffe und die Fahrlässigkeit der Nutzer ließen sich so weitere Accounts übernehmen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) spreche sich in seinem aktuellen Lagebericht für den Einsatz von Authentifizierung mit mehreren Faktoren aus: „Eine sichere Zwei-Faktor-Authentisierung schafft hier Abhilfe. Dabei werden statt einem Faktor zwei für die Authentisierung verwendet.“ Ein zweiter Faktor sei traditionell eine „Smart Card“, könne aber auch per „PushTAN“ über das Mobiltelefon erfolgen. Entsprechende Angebote gebe es für Organisationen jeglicher Größe, aber auch für den privaten Gebrauch. „Trotz des Sicherheitsvorteils setzen immer noch zu wenige Unternehmen auf diese Technologie“, berichtet Krüger.

2. Unzureichende Anwendung starker Verschlüsselung

Beim genannten Vorfall seien die Passwörter teilweise im Klartext gespeichert gewesen. Einige Informationen seien mit dem schon seit Jahren als unsicher gelten Algorithmus „MD5“ verschlüsselt gewesen. Sicherheitsexperten sowie das BSI seien von den Vorteilen der Kryptographie überzeugt, warnten aber auch vor dem Versagen der Schutzwirkung, „falls diese unsauber implementiert wird“.
Krüger rät: „Grundsätzlich sollten alle Informationen nur verschlüsselt gespeichert werden. Die Mechanismen sollten dem Stand der Technik entsprechen.“ Besonders das Schlüsselmaterial müsse verwaltet und geschützt werden, „denn Verschlüsselung steht und fällt mit dem richtigen Umgang der Keys“.

3. Unternehmen fokussieren zu einseitig auf Perimeter-Sicherheit

„Einige der Opfer konnten nicht durch die betroffenen Portale vorgewarnt werden“, so Krüger. Die mangelhafte Fähigkeit zur Entdeckung von Datenschutzverletzungen sei kein Zufall. Viele Firmen seien immer noch zu sehr auf die Endpunkte und die Außenbereiche ihrer Netzwerke fixiert. Dabei warne das BSI bereits seit 2016 und spreche von „Assume the Breach“.
Genau weil sich durch „IoT“, „Cloud Computing“ und „BYOD“ immer neue Angriffsvektoren auftäten, müssten IT-Teams damit rechnen, dass es Kriminellen gelingt, in ihre Netzwerke einzudringen. „Deshalb müssen IT-Entscheider Prozessen und Mechanismen implementieren, die auch im Fall der Fälle Informationen schützen“, fordert Krüger.

Foto: Gemalto

Fazit: noch viel Handlungsbedarf

Es fehle nicht an „Awareness“ und Wissen um mögliche Gefahrenherde. Schlagzeilen über immer größere Datenschutzverletzungen gebe es immer wieder – und spätestens seit der Anwendbarkeit der DSGVO stünden Organisationen unter Zugzwang.
Es sei daher umso überraschender, dass bei den grundlegenden Mechanismen „so nachlässig gehandelt wird“. Das Beispiel verdeutlicht laut Krüger, „dass es bei elementaren Standardvorkehrungen wie durchgehend starker Kryptografie mit passendem Schlüsselmanagement und Multi-Faktor-Authentifizierung noch viel Handlungsbedarf besteht“.

Weitere Informationen zum Thema:

The Register, 11.02.2019
Security / 620 million accounts stolen from 16 hacked websites now for sale on dark web, seller boasts

datensicherheit.de, 12.10.2018
Gemalto Breach Level Index: 4,5 Milliarden Datensätze im ersten Halbjahr 2018 kompromittiert

datensicherheit.de, 13.09.2018
Sicherheit bei der Digitalisierung häufig unterschätzt

datensicherheit.de, 10.07.2018
Gemalto: Unternehmen sammeln mehr Daten als sie verarbeiten können

datensicherheit.de, 20.09.2017
Gemalto: Breach Level Index-Bericht für die erste Jahreshälfte 2017 vorgestellt

datensicherheit.de, 02.10.2017
Kein Einzelfall: US-Börsenaufsicht gibt Informationsdiebstahl durch Hacker zu

datensicherheit.de, 29.06.2017
Neue Ransomware-Angriffe: Unternehmen sollten ihren eigenen Fortschritt bewerten