Anzeige
Anzeige
Sven Scheil
Foto: Sven Scheil / Plan.Net Gruppe
Daten Datenschutz Cybersecurity

Doxing ist kein Fitnesstrend - sondern ein ernstes Problem

In der Serie "Dreimal aufgeschlaut" erklären Experten der Plan.Net Gruppe regelmäßig ein aktuelles Thema der digitalen Welt aus unterschiedlichen Perspektiven. Was bedeutet es für die Oma, was für den Agentur-Kollegen? Und was hat der Kunde, also ein Unternehmen, davon?

Anzeige
Anzeige

Mit der Nutzung unterschiedlichster Online-Dienste, Apps und Webseiten sorgen wir für riesengroße Datenmengen, die oftmals in Clouds gespeichert und mit jedem einzelnen Nutzer verknüpft werden können.

Dabei nehmen die meisten Internetnutzer den Schutz ihrer Daten nicht allzu ernst und Unternehmen kommen oftmals mit der rasanten Entwicklung nicht hinterher, bedrohliche Sicherheitslücken schnell genug zu schließen. Auch die Politik war lange nicht dazu bereit, bestehende Datenschutzgesetze durchzusetzen.

Der aktuell in den Medien präsente Fall, in dem vermutet wird, ein 20-jähriger Mann habe Politiker und Prominente ausgespäht, zeigt, wie leicht sich über die in der Cloud gesammelten Daten komplette persönliche Netzwerke ausspionieren lassen.

"Nein Oma, du hast das Internet nicht kaputt gemacht!"

Zugegeben, wer von uns war nicht auch schon nur einen kleinen Klick von einem potenziellen Übergriff durch Hacker entfernt? Falsche Landingpages oder Phishing-Mails verwirren selbst jüngere Semester noch häufig und laden sie dazu ein, all ihre Daten und Passwörter sowie die ihrer Bekannten preiszugeben.

Anzeige

Online-affine Omis und Opis bleiben da leider nicht verschont, wenn sie dem Fortschritt die Stirn bieten wollen und der Enkel doch so liebevoll alle Passwörter der Bookmarks im Browser gespeichert hat - "Alles nur einen Klick entfernt, siehst du?"

In der Regel wird der Benutzer aber von täuschend echten E-Mails zum Öffnen eines Anhangs oder Links aufgefordert. Auf der geöffneten Webseite wird der Nutzer dann gebeten, sich zwecks Authentifizierung bei seiner Bank anzumelden. Folgt er dieser Aufforderung, gelangt der Hacker an die Zugangsdaten und schon ist das Rentenkonto leer und die Scham groß.

Doch hinzu kommt, dass Kriminelle Sicherheitslücken sogar bereits im Darknet kaufen können und nicht mal mehr die technischen Kenntnisse eines Hackers brauchen. Diese Art des Übergriffs ist völlig willkürlich und trifft selbst ahnungslose Omis. Einen einfachen Schutzmechanismus gibt es bei einem derartig komplexen Thema also nicht.

Das Benutzen von komplexen Passwörtern und einer Passwort-Manager-App – vor allem das einmalige Verwenden eines Passworts für einen Dienst ist der erste Schritt zur Besserung.

Auch interessant: Umfrage: Hälfte der Deutschen kennen Wert eigener Daten nicht

Lead 4 Cover 1200X1200
Wie bitte?

Noch nie gab es so viele Möglichkeiten zu kommunizieren. Wie Unternehmen es dennoch schaffen, ihre Botschaft erfolgreich zu vermitteln? Das LEAD Bookazine 4/2018 gibt unter anderem Tipps für den Einsatz von Voice-Skills, UX und Change-Management im Arbeitsleben. So gelingt Kommunikation – ohne Missverständnisse.

Safety first – auch im sicher anmutenden Büroalltag

Als Internetnutzer ist man nicht nur für sich selbst verantwortlich, sondern auch Kollegen sowie seinem Arbeitgeber gegenüber, dessen Daten man nutzt. Backups vom eigenen oder von Firmen-Smartphones werden heutzutage oft automatisch in einer Cloud gespeichert.

Somit ist es nahezu unumgänglich, dass Informationen und Kontaktdaten von Arbeitskollegen auch extern gespeichert werden. Verschafft sich ein Hacker Zugriff auf einen der persönlichen Accounts, wie beispielsweise Google-Mail, Apple oder Facebook, so erhält er automatisch auch den Zugriff auf die Firmenkonten und die Kontaktdaten Dritter, obwohl die Sicherheitsstandards des Unternehmens eingehalten wurden.

Für diese Problematik gibt es beispielsweise sogenannte Sandboxes, die Nutzungskontexte verwalten und dabei helfen, Privates von Beruflichem zu trennen. Aller Anfang sollte aber sein, dass Unternehmen Richtlinien festlegen, die vorgeben, welche Clouds generell genutzt werden dürfen und welche im beruflichen Kontext lieber nicht genutzt werden.

Wie kann meine Firma der schnell wachsenden Bedrohung also richtig begegnen? Auch hier ist die oberste Priorität, den menschlichen Faktor nicht zu unterschätzen. Die komplexesten technischen Sicherungsmaßnahmen können durch unbedachtes Handeln eines Mitarbeiters ausgehebelt werden. Für Angestellte, die beruflich Internetdienste nutzen, gelten die gleichen Sicherheitsmaßnahmen wie für private Nutzer.

Für die Geschäftsführung bedeutet das, neben der Ergreifung der verfügbaren technischen Maßnahmen, ihre Mitarbeiter im Umgang mit der Nutzung von Cloud-Services, Smartphones, E-Mail-Accounts und weiteren Diensten regelmäßig schulen müssen. Bietet eine Firma Waren- oder Dienstleistungen über das Internet an, so besteht potenziell immer die Gefahr, dass es einem Angreifer gelingt, diese Anwendung zu hacken.

"Ach, wieso sollte man meine Firma denn hacken?“

Viele Kunden – gerade kleinere und mittlere Unternehmen – schätzen die Bedrohungslage durch Hackangriffe falsch ein. Sie stellen die Frage: "Warum sollte jemand denn gerade uns hacken wollen? Wir sind doch viel zu klein und unbedeutend." Die Massenhacks funktionieren heutzutage aber nicht so, dass ein Hacker sich gezielt ein Opfer aussucht.

Im Internet existieren Suchmaschinen, die wie Google das gesamte Internet scannen, um die verwendete Infrastruktur, wie zum Beispiel Hersteller von Servern, Routern etc. und die darauf installierten Versionen der Software, zu katalogisieren.

Weiß ein Hacker, dass in der Webserver-Software A in Version 1.4 eine Schwachstelle ist, die er nutzen möchte, so sucht er danach und startet dann automatisiert einen Angriff auf alle potentiellen Ziele, die die Suchmaschine ihm vorschlägt. Das bedeutet, dass wirklich jeder, der im Internet präsent ist, von Hackern – wenn auch indirekt – als potenzielles Ziel identifiziert werden kann.

Verlagsbox Seminar Datenschutz

Mobile, Social, Big Data - das Online-Marketing lebt von Daten. Aber gehen Sie auch korrekt damit um? Vor allem im Hinblick auf das Inkrafttreten der EU-Datenschutzgrundverordnung am 25. Mai 2018? Machen Sie sich fit in unserem Seminar und melden Sie sich gleich an.

Der einzige Schutz dagegen ist, die Bedrohung zu kennen und in die Sicherheit seiner Systeme sowie die Ausbildung seiner Mitarbeiter zu investieren. In einem Live-Interview mit Edward Snowden auf der CeBit 2017 antwortete er auf die Frage, wie denn das Internet sicherer gemacht werden könne: "Jeder, der etwas zum Internet beiträgt, sei es durch Texte, Videos, Apps, Shops, Cloud-Services oder ähnlichem, hat die Aufgabe, seinen Beitrag so sicher wie möglich zu machen."

Auch im Umgang mit Drittsoftware (Softwarebibliotheken) und weiteren Dienstleistern, ohne die moderne E-Commerce-Plattformen überhaupt nicht mehr existieren würden, ist es wichtig darauf zu achten, dass hier die Sicherheitsrisiken erkannt werden. Nur so kann das Risiko minimiert werden, dass das vermeintlich sichere System durch einen unsicheren "Tunnel" eines Drittanbieters geschwächt wird.

Regelmäßige Updates sind hier ein absolutes Muss. Genauso gehört auch das regelmäßige Pentesting aller Systemkomponenten zum Pflichtprogramm eines Anbieters. Zu der Beauftragung eines Implementierungsdienstleisters gehört heutzutage auch die Vorgabe von Sicherheitsanforderungen - zum Beispiel in Form von Secure-Coding-Richtlinien.

Da es dafür keinen definierten Software-Industriestandard gibt, muss man mit Experten zusammenarbeiten, die einen State-of-the-art Standard definieren können. Lassen sich Dienstleister nicht in die Karten schauen, ist dies bereits oft das erste Indiz dafür, dass es langfristig keine Gewährleistung geben wird, dass Sicherheitslücken geschlossen werden.

Auch interessant: Jeder zweite Internetnutzer von Cyberkriminalität betroffen

Über den Autor:Sven Scheil gehört zu der Generation, die während ihrer Hochschulausbildung die Premiere des Internets miterleben durfte. In Deutschland gab es zu dieser Zeit einen "Cloud"-Dienst namens BTX. Der Chaos Computer Club erschien auf der Bildfläche: Mit seinem "BTX-Hack" zeigte er damals, wie leicht man der Hamburger Sparkasse online 134.634,88 D-Mark klauen konnte. All dies hat den Security Manager fasziniert. Nach seinem Studium arbeitete er als Software-Entwickler und -Architekt. Seit zwölf Jahren hat Sven Scheil bei hmmh ausschließlich E-Commerce-Systeme entwickelt. Er ist als Ethical Hacker zertifiziert und hat ein eigenes firmenübergreifendes Team für die Themen Sicherheit und Softwarequalität aufgebaut.

Newsletter

Mit dem LEAD Newsletter und dem LEAD Tech Newsletter immer top informiert zu allen Themen des digitalen Lebens. Egal ob beruflich oder privat.

Anzeige
Verlagsangebot
Anzeige
Aktuelle Stellenangebote
Alle Stellenangebote
Anzeige