Viele Webdienste bieten ihren Besuchern oder Kunden an, ein persönliches Benutzerkonto anzulegen. Damit sollen individuelle Erlebnisse und Interaktivität der Benutzer ermöglicht werden. Aufgrund der Vielzahl an verfügbaren Webdiensten, besitzen viele Personen eine kaum zu überschauende Menge an unterschiedlichen Benutzerkonten.
Das Spektrum genutzter Web-Dienste reicht von E-Mail, Sozialen Netzwerken und Online-Shops über Versorger, Versicherer und Krankenkassen bis hin zu Entertainment und Vereinen sowie beruflichen Diensten. In der Regel wird der Zugang zu diesen Benutzerkonten mit einer E-Mail-Adresse und einem frei wählbaren Passwort abgesichert.
Mit der Kenntnis dieser Zugangsdaten kann nach der Registrierung ausschließlich der Kontoinhaber die Dienste innerhalb des Benutzerkontos verwenden. Allerdings ist es gar nicht so leicht, sich für mehrere Dutzend Benutzerkonten jeweils neue Passwörter auszudenken und sich diese auch noch zu merken. Daher tendieren viele Benutzer dazu, identische Passwörter für den Zugang zu unterschiedlichen Webdiensten zu verwenden.
Der Zugang zu fremden Benutzerkonten unterschiedlicher Webdienste ist für Kriminelle ein großer Anreiz. So werden fremde Benutzerkonten für den Versand von SPAM-Mitteilungen oder -Beiträgen missbraucht, oder es werden Produkte oder Dienstleistungen auf Rechnung des tatsächlichen Kontoinhabers erworben.
Aufgrund der Vielzahl verfügbarer Webdienste und ihrer hohen Verbreitung haben Kriminelle eine neues Geschäftsfeld entwickelt, die massenhafte Nutzung fremder Benutzerkonten zum eigenen finanziellen Vorteil. Regelmäßig werden von Hackern einzelne Zugangsdaten oder auch ganze Sammlungen an Zugangsdaten entwendet, um diese an Betrüger zu verkaufen, oder diese selbst für betrügerische Zwecke zu verwenden.
Es gibt verschiedene Wege, wie Hacker an die Zugangsdaten der Benutzern von Webdiensten gelangen. Im Folgenden werden diese unterschiedlichen Wege und mögliche Folgen dieser Form von Identitätsdiebstahl vorgestellt.
Wie Zugangsdaten gestohlen werden.
Hacker entwickeln kontinuierlich neue Ideen, um an eigentlich geheime Informationen wie Zugangsdaten zu Webdiensten zu gelangen. Die erfolgreichsten, und damit am häufigsten verwendeten Methoden, lassen sich in zwei Kategorien aufteilen. Einerseits können die Zugangsdaten aller oder zumindest vieler Benutzer direkt beim Webdienst selbst gestohlen werden. Andererseits verwenden Hacker Methoden, die Zugangsdaten bei den Benutzern selbst erbeuten.
Werden Zugangsdaten beim Webdienst selbst entwendet, dann konnten die Hacker meist im Vorfeld vorhandene Sicherheitslücken der technischen Infrastruktur des Webdienstes erkennen und auszunutzen. Hat ein Hacker erste einmal Zugriff auf sensible Systembereiche, gelingt es schnell, unerlaubt Teile der Benutzerdatenbank zu kopieren. Bei diesem direkten Angriff auf den Dienstbetreiber werden häufig umfassende Mengen an Zugangsdaten entwendet.
Parallel zu den Angriffen gegen die Infrastruktur der Webdienste, versuchen Angreifer auch Zugangsdaten direkt bei Benutzern zu entwenden. Hierzu gibt es spezialisierte Schadsoftware, welche alle auf einem infizierten Gerät eingegebenen Zugangsdaten, also E-Mail-Adressen und Passwörter, aufzeichnet und den Angreifern zusendet. Ist ein Gerät eines Benutzers erstmal mit einer solchen Schadsoftware infiziert, gelingt es Angreifern häufig über einen langen Zeitraum unbemerkt alle Eingaben des Benutzers zu erhalten.
Alternativ zu einer solchen Schadsoftware auf den Geräten der Benutzer verwenden Hacker auch Phishing-Mails zum Erbeuten persönlicher Daten. Beispielsweise werde regelmäßig E-Mails versendet, in denen einen anderer Absender vorgetäuscht wird, den der Empfänger der Phishing-Mail möglichst gut kennt. Ziel einer solchen E-Mail ist, den Empfänger dazu zu bewegen, eine in der E-Mail genannte gefälschte Website aufzurufen, um dort die Eingabe der Zugangsdaten zum eigentlichen Webdienst abzufangen.
Sind die Zugangsdaten einzelner Webdienste erst einmal in den Händen Krimineller, ist es um so problematischer, wenn Benutzer ihre Zugangsdaten für Benutzerkonten unterschiedlicher Webdienste mehrfach verwenden.
Die Hacker kennen natürlich die Problematik der Mehrfachverwendung von Passwörtern und testen deshalb alle erbeuteten Zugangsdaten auch bei anderen Webdiensten aus – in der Regel passiert das sogar voll automatisiert. Auf diese Weise gelingt es Kriminellen immer wieder, direkt mehrere Benutzerkonten verschiedener Webdienste eines einzelnen Benutzers zu übernehmen.
Was wird mit gestohlenen Passwörtern angestellt?
In der Hand von Kriminellen können die Zugangsdaten für unterschiedliche Zwecke genutzt werden. Gültige Zugangsdaten zu einem Webdienst ermöglichen es einem Betrüger, im Namen und auf Rechnung des eigentlichen Inhabers Leistungen und Funktionen unter falscher Identität in Anspruch zu nehmen. Durch diesen Identitätsdiebstahl können sowohl Schäden für die Inhaber der gestohlenen Zugangsdaten als auch für die Webdienste entstehen.
Eine weitere Verwertungsmöglichkeit gestohlener Zugangsdaten durch Kriminelle ist der Handel dieser Daten, insbesondere der Verkauf an andere Kriminelle zur weiteren Nutzung. Auf speziellen Marktplätzen im Darknet werden Sammlungen gestohlener Zugangsdaten verkauft oder in sogenannten Untergrundforen mit anderen Kriminellen getauscht.
Welche Schäden können entstehen?
Der durch entwendete Zugangsdaten entstehende Schaden kann je nach Webdienst unterschiedliche Dimensionen annehmen. In allererster Linie denken die meisten wahrscheinlich an einen Schaden finanzieller Natur. Es können aber noch weitere Schadensarten auftreten, die erst einmal nicht so naheliegend sind.
Tatsächlich können die mit einem kriminellen Missbrauch eines Benutzerkontos verbundenen Konsequenzen bei den Opfern des Identitätsdiebstahls Stress und Ängste verursachen, was am Ende zu einem psychischen Schaden führen kann. Wird beispielsweise durch den Missbrauch von Zahlungsmitteln die bisher gute Bonität einer Person beschädigt, so kann es durchaus passieren, dass etwa die Anschlussfinanzierung eines Kredits nicht mehr sichergestellt ist. Hier droht also sogar der Verlust der eigenen vier Wände, was einem physischen Schaden entspräche.
Haben es Kriminelle aber nicht vordergründig auf die Kreditkarte ihrer Opfer abgesehen, sondern veröffentlichen beispielsweise die privaten in der Cloud gespeicherten Fotos, oder veröffentlichen Beiträge im Namen des Opfers, so kann dies im Bekanntenkreis und Arbeitsumfeld des Opfers durchaus zu einem massiven sozialen Schaden führen.
Wie können Benutzer davor geschützt werden?
Ein Benutzer kann sich am Ende nicht davor schützen, dass seine Zugangsdaten bei einem Webdienst entwendet werden. Er kann nicht beeinflussen, wie ein Webdienst die eigenen Systeme pflegt und auch nicht, ob die Passwörter nach aktuellem Stand der Technik gespeichert werden. Aus diesem Grund ist es umso wichtiger, individuelle Passwörter für verschiedene Dienste zu verwenden.
Eine sinnvolle Ergänzung zum Schutz von Zugangsdaten und Benutzerkonten ist die Verwendung eines zweiten Faktors zur Authentifizierung, solange dies denn von einem Webdienst angeboten wird. Hierbei wird, ähnlich wie beim Online-Banking, die Anmeldung mit einem zweiten Sicherheitsmerkmal ergänzt.
Sehr hilfreich ist auch die schnelle Entdeckung eines Diebstahls der eigenen Identität. Um zu überprüfen, ob man bereits selber Opfer geworden ist und die eigenen Zugangsdaten gestohlen wurden, kann der Leak-Checker der Universität Bonn verwendet werden: Identity Leak-Checker der Uni Bonn
Hier wird die eigene E-Mail-Adresse eingegeben und man bekommt eine Rückmeldung per E-Mail darüber, welche eigenen Daten in den unterschiedlichen Sammlungen gestohlener Zugangsdaten enthalten sind. Die Ergebnis-E-Mail enthält Informationen, die dabei unterstützen sollen, um betroffene Benutzerkonten zu identifizieren. Sofern die Informationen bekannt sind, werden Angaben zum betroffene Dienst, dem Dateinamen des Leaks und einzelne Stellen des Passworts gemacht. Die Nennung der einzelnen Stellen des Passworts gibt Rückschlüsse darauf, ob ein aktuelles oder ein veraltetes Passwort in der jeweiligen Zugangsdatensammlung gefunden wurde.
Darüber hinaus sollten die eigenen Geräte auf einem aktuellen Stand der Software gehalten werden. Regelmäßige automatische Updates eigener Endgeräte und die Verwendung eines aktuellen Virenscanners tragen dazu bei, die eigenen Geräte und sich selbst vor den Methoden der Angreifer zu schützen.
Über den Autor:
Dr. Timo Malderle ist als wissenschaftlicher Mitarbeiter an der Universität Bonn in der Arbeitsgruppe für IT-Sicherheit tätig. In seiner Forschung beschäftigt er sich mit dem Schutz vor Identitätsdiebstahl. Zusammen mit seinen Kollegen entwickelt er ein Warnsystem, welches Unternehmen und Benutzer informieren soll, sobald die eigenen Identitätsdaten gestohlen und im Internet gehandelt werden.