English

Gehacktes E-Mail-Konto von CIA-Direktor zeigt Notwendigkeit der Multi-Faktor-Authentisierung

logins

von VPNHaus | 03.11.2015 |2 Factor Authentication


Die Art, wie die US-Regierung das Thema Datenverschlüsselung und Datenschutz für die Bürger angeht, während sie gleichzeitig Opfer eines umfangreichen Datenangriffs aufgrund von peinlichen Sicherheitsversäumnissen wird, birgt eine gewisse Ironie.

Noch bis vor kurzem hatten Exekutivbehörden wie das FBI sich vehement dafür eingesetzt, dass Unternehmen wie Apple und Google dazu gezwungen werden, „Hintertüren“ bei der Verschlüsselung ihrer Dienstleistungen (wie beispielsweise iMessage) zu programmieren. Dadurch sollten Behörden in der Lage sein, die ansonsten blockierte Kommunikation von mutmaßlichen Kriminellen oder Terroristen abzuhören. Silicon Valley antwortete, die Öffnung einer „Hintertür” zur Strafverfolgung wäre im Endeffekt gleichbedeutend mit der Öffnung einer Hintertür für jeden – eine Einstellung, die das Weiße Haus im Endeffekt teilte. FBI und NSA argumentierten dagegen, dass sie diese Türen kontrollieren würden und die Nutzerdaten bei ihnen sicher wären.

Diese Argumentation konnten Datenschützer damals nur schwer hinnehmen. Und jetzt, angesichts eines neuen Datenschutzskandals, dürfte es sogar noch unwahrscheinlicher sein, jemanden dafür zu gewinnen. Die Tageszeitung The Guardian berichtete kürzlich, es sei einem Hackerpärchen gelungen, auf die privaten AOL-E-Mail-Konten von John Brennan, dem Direktor der CIA, zuzugreifen. Damit jedoch nicht genug: Die Daten, die aufgrund des Angriffs kompromittiert wurden – darunter Namen, Kontaktdaten, Sicherheitsfreigaben und Sozialversicherungsnummern von rund 20 CIA-Mitarbeitern – sickerten durch und wurden auf Twitter veröffentlicht.

Das Magazin Fortune nannte den Inhalt der E-Mails „banal“ und „Kleinigkeiten, sofern reale Erkenntnisse und öffentliches Interesse betroffen sind“. Dennoch bleibt die Tatsache, dass es einem Paar jugendlichen Hackern nachweislich gelungen ist, das E-Mail-Konto des amerikanischen CIA-Direktors zu hacken. Der Witz liegt quasi auf der Hand.

Nicht lustig ist dagegen die Häufigkeit dieser erstaunlichen Cybersecurity-Versäumnisse, bei denen sensible Daten exponiert werden – im vorliegenden Fall handelte es sich um die Daten von lediglich 20 Personen, aber im Fall des OPM-Hacks waren über 22 Millionen Menschen betroffen.

Besonders alarmierend ist, dass die Hacker durch einfaches Social Engineering auf Brennans E-Mail-Konto zugreifen konnten. Wie kommt es, dass der Direktor der CIA sein E-Mail-Konto in der heutigen Zeit nicht mit zumindest zwei zur Authentifizierung notwendigen Faktoren geschützt hat? Jasper Graham, ehemaliger technischer Direktor bei der NSA, sagte gegenüber The Guardian: „Ich bin mir sicher, hätte [Brennan] eine Textmeldung mit der Frage ‚Wollen Sie Ihr Passwort zurücksetzen?’ bekommen, wäre seine Antwort „nein“ gewesen.“

Auch wenn der Angriff auf Brennans E-Mail-Konto nicht unbedingt irgendwelchen ernsthaften und weitreichenden Schaden angerichtet hat – außer dem, dass die 20 betroffenen Personen dadurch nun eventuell ein erhöhtes Risiko haben, Opfer eines Identitätsdiebstahls zu werden – rückt er doch die Notwendigkeit von Multi-Faktor-Authentisierung und VPN in den Fokus. Darauf zu vertrauen, dass E-Mails und sensible Daten sicher hinter einem Nutzernamen und einem Passwort verschlossen sind, ist einfach nicht länger ausreichend.

Ob mittels Remote Access VPNs und/oder Multi-Faktor-Authentisierung – Fakt ist: Jeder, der mit vertraulichen Daten zu tun hat, muss zur Abwehr potentieller Cyberangriffe hochentwickelte Sicherheitsinstrumente einsetzen. Damit lässt sich ferner die Situation im Falle eines unerlaubten Zugriffs entschärfen. Auch John Brennan hätte das tun können.

Lesen Sie mehr:

Remote Access: Sicherheitsversäumnisse bei Regierungsnetzwerken führten zu Datenverstößen</a>

Erhöhte VPN-Sicherheit durch Zwei-Faktor-Authentisierung</a>

Diese Webseite verwendet Cookies

Wir verwenden Cookies, um Inhalte zu personalisieren und die Zugriffe auf unsere Website zu analysieren. Weitere Informationen finden Sie in unserer Datenschutzerklärung.

OK