Der Politikerhack 2018 hätte vermieden werden können
14. Januar 2019 | Allgeier CyRis
Was war passiert?
Der Dezember 2018 sorgte bei vielen Prominenten und Politikern in Deutschland für schlaflose Nächte und Ungewissheit.
Über einen gekaperten Twitteraccount wurden täglich vom 1. bis 28. Dezember 2018 private Informationen von Politikern, Prominenten und Journalisten als “Adventskalender” veröffentlicht.
Die verschiedenen Türchen, bzw. Links enthielten zahlreiche sensible Informationen der betroffenen Personen. Die gestohlenen Daten waren vielfältig: Angefangen von privaten Adressen, Handynummern und ganzen Chatverläufen, über Bilder von Personalausweisen und Reisepässen. Auch Namen von Familienangehörigen und private Fotos wurden über den Twitter-Account veröffentlicht.
Beim Angreifer handelt es sich um einen 20-Jährigen, der in Hessen vorläufig festgenommen wurde. Als Motivation der Tat gab er seinen Ärger gegenüber verschiedener Aussagen der betroffenen Personen an.
Der Twitter-Account, über den die privaten Informationen verteilt wurden, ist inzwischen gesperrt.
Wie wurde der Angriff durchgeführt?
Es ist anzunehmen, dass der Angreifer durch Social-Engineering und durch öffentlich zugängliche Informationen an die Daten gelangen konnte.
Mithilfe von OSINT-Techniken (Open Source Intelligence) lassen sich Angaben zu einer Person aus verschiedenen Quellen zusammenstellen. Somit erhält ein Angreifer, je nach Qualität und Menge der Daten eine umfangreiche Sammlung von Informationen, um Accounts zu übernehmen.
Viele Internetdienste fragen bei der Registrierung sogenannte Sicherheitsfragen ab, um Accounts wiederherstellen zu können, falls das Passwort vergessen wird.
Dies kann sich ein Angreifer zu Nutze machen: Der Name des Haustiers steht unter Umständen im öffentlichen Facebook oder Instagram-Profil. Der Mädchenname der Mutter kann durch Internetrecherche herausgefunden werden.
Um nicht selbst Ziel eines Angriffs zu werden, empfiehlt es sich, zusätzliche Sicherheitsmaßnahmen in den Accounts zu aktivieren.
Oftmals kann die Anmeldung mithilfe einer Zwei-Faktor-Authentifizierung aktiviert werden. Hierbei wird beim Login eine Zusatzinformation abgefragt, die beispielsweise per SMS oder App an das hinterlegte Smartphone gesendet wird. Ein Angreifer müsste also zusätzlich das Handy kontrollieren, um diese Information abzufangen.
Diese zusätzlichen Sicherheitsmaßnahmen sind zwar unkomfortabler für den Anwender, erschweren aber den unerwünschten Zugriff auf ihre Accounts.
Wie kann ich mich schützen?
- Nutzen Sie starke Passwörter (mindestens 10 Zeichen aus Zahlen, Sonderzeichen, Groß-/Kleinbuchstaben)
- Verwenden Sie für jeden Dienst ein anderes Kennwort. Sollte ein Dienst gehackt worden sein, gilt nur dieses Kennwort als kompromittiert.
- Aktivieren Sie zusätzliche Sicherheitsmaßnahmen für Ihre Accounts (Zwei-Faktor-Authentifizierung, Benachrichtigungen beim Login, …)
- Verwenden Sie Sicherheitsfragen, deren Antwort nur Sie kennen können
- Überlegen Sie sich, welche Daten, Bilder und Informationen Sie in sozialen Netzwerken veröffentlichen