Die Kunst der Anonymität im Internet E-Book

Für meine geliebte Mutter, Shelly Jaffe,und meine Großmutter Reba Vartanian

Bibliografische Information der Deutschen Nationalbibliothek

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über <http://dnb.d-nb.de> abrufbar.

ISBN 978-3-95845-637-2

1. Auflage 2018

www.mitp.de

E-Mail: [email protected]

Telefon: +49 7953 / 7189 - 079

Telefax: +49 7953 / 7189 - 082

© 2018 mitp Verlags GmbH & Co. KG

Dieses Werk, einschließlich aller seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheberrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.

Authorized German translation from the English language edition, entitled THE ART OF INVISIBILITY: The World's Most Famous Hacker Teaches You How to Be Safe in the Age of Big Brother and Big Data, ISBN 978-0-316-38050-8

Copyright © 2017 by Kevin D. Mitnick

Foreword copyright © 2017 by Mikko Hypponen

This edition published by arrangement with Little, Brown and Company, New York, New York, USA. All rights reserved.

Lektorat: Janina Bahlmann, Sabine Schulz

Sprachkorrektorat: Petra Heubach-Erdmann

Coverbild: © Daniel Berkmann @ fotolia.com

electronic publication: III-satz, Husby, www.drei-satz.de

Dieses Ebook verwendet das ePub-Format und ist optimiert für die Nutzung mit dem iBooks-reader auf dem iPad von Apple. Bei der Verwendung anderer Reader kann es zu Darstellungsproblemen kommen.

Der Verlag räumt Ihnen mit dem Kauf des ebooks das Recht ein, die Inhalte im Rahmen des geltenden Urheberrechts zu nutzen. Dieses Werk, einschließlich aller seiner Teile, ist urheberrechtlich geschützt. Jede Verwertung außerhalb der engen Grenzen des Urheherrechtsgesetzes ist ohne Zustimmung des Verlages unzulässig und strafbar. Dies gilt insbesondere für Vervielfältigungen, Übersetzungen, Mikroverfilmungen und Einspeicherung und Verarbeitung in elektronischen Systemen.

Der Verlag schützt seine ebooks vor Missbrauch des Urheberrechts durch ein digitales Rechtemanagement. Bei Kauf im Webshop des Verlages werden die ebooks mit einem nicht sichtbaren digitalen Wasserzeichen individuell pro Nutzer signiert.

Bei Kauf in anderen ebook-Webshops erfolgt die Signatur durch die Shopbetreiber. Angaben zu diesem DRM finden Sie auf den Seiten der jeweiligen Anbieter.

Kevin Mitnick, der berühmteste (ehemalige) Hacker der Welt, ist nun ein Sicherheitsberater. Er ist Gründer und CEO von Mitnick Security Consulting, einer erstklassigen Penetrationstest-Firma, und der Chief Hacking Officer von KnowBe4, einem Unternehmen, das Angestellte schult, damit sie bessere Entscheidungen im Bereich der Sicherheit treffen können. Zahllose Zeitungs- und Zeitschriftenbeiträge haben sich bereits mit Mitnick befasst und er kam in vielen Fernseh- und Radiosendungen als IT-Sicherheitsexperte zu Wort. Vorher hat er bereits vor dem US-Senat ausgesagt und für den Harvard Business Review geschrieben. Zusammen mit William L. Simon ist Mitnick der Autor der Bestseller Die Kunst der Täuschung, Die Kunst des Einbruchs und Das Phantom im Netz. Er lebt in Las Vegas im US-Bundesstaat Nevada und bereist als Top-Keynote-Speaker zum Thema Cybersecurity die Welt.

Robert Vamosi ist Certified Information Systems Security Professional (CISSP), preisgekrönter Journalist und Autor von When Gadgets Betray Us: The Dark Side of our Infatuation with New Technologies. Er ist in Code2600, einer Dokumentation über die Geschichte des Hackings, zu sehen. Vamosi schreibt seit mehr als 15 Jahren über IT-Sicherheit, unter anderem für Forbes.com, ZDNet, CNET, CBS News, PC World und Security Ledger.

Vor ein paar Monaten traf ich einen alten Freund, den ich seit der Highschool nicht mehr gesehen hatte. Bei einem Kaffee berichteten wir einander, was wir in den letzten Jahrzehnten getan hatten: Er erzählte von seiner Arbeit in der Auslieferung und im Support für moderne medizinische Geräte, und ich wiederum erklärte ihm, dass ich die letzten 25 Jahre im Bereich Internetsicherheit und Datenschutz tätig gewesen war.

Als ich das Thema Datenschutz im Netz erwähnte, lachte mein Freund leise. »Das ist ja alles schön und gut«, sagte er, »aber eigentlich mache ich mir da gar keine Sorgen. Schließlich bin ich ja kein Krimineller und mache auch sonst nichts Schlimmes. Falls jemand beobachtet, was ich online tue, ist mir das egal.«

Meinem alten Freund dabei zuzuhören, wie er darüber sprach, warum das Thema Datenschutz für ihn keine Rolle spiele, bedrückte mich. Es bedrückte mich, weil ich diese Argumente schon viele Male gehört hatte. Ich höre sie von Leuten, die denken, sie hätten nichts zu verbergen. Von Menschen, die glauben, nur Kriminelle müssten vorsichtig sein und nur Terroristen würden Daten verschlüsseln; die der Ansicht sind, es bestünde gar keine Notwendigkeit, unsere Rechte zu schützen. Aber wir müssen unsere Rechte schützen! Und Datenschutz betrifft nicht nur unsere Rechte, es ist ein Menschenrecht. Tatsächlich wurde Privatsphäre in der Allgemeinen Erklärung der Menschenrechte der Vereinten Nationen im Jahr 1948 als grundlegendes Menschenrecht anerkannt.

Wenn die Privatsphäre schon 1948 geschützt werden musste, dann gilt das heutzutage umso mehr. Denn niemals zuvor in der Geschichte der Menschheit war eine derart präzise Überwachung möglich: Unser ganzes Leben kann heute digital beobachtet werden. Nahezu unsere gesamte Kommunikation kann in irgendeiner Form eingesehen werden. Wir tragen sogar ständig kleine Ortungsgeräte mit uns herum, nur nennen wir sie nicht Ortungsgeräte, sondern Smartphones.

Das sogenannte Online-Monitoring macht sichtbar, welche Bücher wir kaufen und welche Nachrichten wir uns durchlesen – ja sogar, welche Abschnitte in den Artikeln uns besonders interessieren. Es zeigt, wohin wir reisen und mit wem. Und es weiß, ob wir krank sind oder traurig oder Lust auf Sex haben ...

Ein Großteil der Daten, die heute auf diese Art gesammelt werden, dient kommerziellen Zwecken. Unternehmen, die kostenlose Dienste anbieten, schaffen es irgendwie, diese kostenlosen Dienste in Einnahmen in Milliardenhöhe zu verwandeln. Damit führen sie uns deutlich vor Augen, wie sehr es sich lohnen kann, im großen Stil Profile von Internetnutzern zu erstellen. Doch auch gezieltere Überwachung findet im Netz statt: die Art von Überwachung, wie sie von Regierungsbehörden – den eigenen ebenso wie ausländischen – betrieben wird.

Dank der digitalen Kommunikation steht Regierungen die Möglichkeit der Massenüberwachung offen. Doch sie erlaubt uns auch, uns selbst besser zu schützen, und zwar, indem wir Tools, zum Beispiel zur Verschlüsselung, nutzen, indem wir unsere Daten auf sichere Art speichern oder indem wir uns an die grundlegenden Prinzipien der »Operations Security« (OPSEC)1 halten. Wir bräuchten nur jemanden, der uns zeigt, wie genau das geht.

Eben diesen Ratgeber halten Sie gerade in Ihren Händen. Ich bin wirklich froh, dass Kevin sich die Zeit genommen hat, sein Wissen über die »Kunst der Anonymität im Internet« zu Papier zu bringen. Denn darüber, wie man unsichtbar bleibt, weiß er so einiges. Dieses Buch ist also eine hervorragende Quelle. Lesen Sie es und nutzen Sie das, was Sie dabei lernen, zu Ihrem Vorteil. Schützen Sie sich und schützen Sie Ihre Rechte.

Zurück ins Café, zu meinem alten Freund: Wir haben unseren Kaffee ausgetrunken, danach gingen wir wieder getrennte Wege. Ich wünsche ihm alles Gute, und doch denke ich manchmal an seine Worte zurück: »Falls jemand beobachtet, was ich online tue, ist mir das egal.« Nun, du musst vielleicht nichts verbergen, mein Freund. Aber alles, was du hast, musst du schützen.

Mikko Hyppönen ist Chief Research Officer bei F-Secure. Er ist der einzige lebende Mensch, der sowohl bei der DEF CON2als auch bei den TED-Konferenzen3einen Vortrag gehalten hat.

Ziemlich genau zwei Jahre nach dem Tag, an dem ein gewisser Edward Joseph Snowden, ein Auftragnehmer der IT-Beratungsfirma Booz Allen Hamilton, Geheimdokumente der NSA​1 veröffentlicht hatte, führte der US-Comedian John Oliver​ für seine Show eine Umfrage auf dem Times Square in New York durch. Er stellte zufällig ausgewählten Passanten jeweils zwei einfache Fragen: Wer ist Edward Snowden? Und was hat er getan?2

In den Interviewausschnitten, die in Olivers Show zu sehen waren, schien das keiner zu wissen. Manche hatten den Namen zwar schon einmal gehört, konnten aber nicht so genau sagen, was Snowden eigentlich getan hatte und warum. Sie wussten nicht, dass Edward Snowden als externer Mitarbeiter der NSA Tausende als »top secret« eingestufte Daten und Geheimdokumente an verschiedene Journalisten übergeben hatte, damit diese sie der Weltöffentlichkeit zugänglich machen konnten. Oliver hätte daraufhin die Folge seiner Show zum Thema Überwachung einfach mit der deprimierenden Erkenntnis beenden können, dass es den Amerikanern offenbar auch nach Jahren ausführlicher medialer Berichterstattung egal war, dass die Regierung sie in ihrer Privatsphäre bespitzelte. Doch das tat er nicht. Stattdessen flog er nach Russland, wo Snowden im Exil lebt, um ein Interview mit ihm zu führen.3

Olivers erste Frage an Snowden war: »Was wollten Sie mit diesen Enthüllungen erreichen?« Snowden antwortete, dass er der Welt zeigen wollte, was die NSA tut – nämlich über nahezu jeden Menschen Daten zu sammeln. Oliver zeigte Snowden die Interviews vom Times Square, in denen ein Passant nach dem anderen zugab, Snowden nicht zu kennen. Daraufhin sagte Snowden: »Na ja, es kann eben nicht jeder gut informiert sein.«

Aber warum sind wir nicht besser informiert über die Fragen des Datenschutzes​, die Edward Snowden und andere Whistleblower aufgeworfen haben? Warum scheint es uns noch nicht einmal etwas auszumachen, dass eine Regierungsbehörde unsere Telefonate abhört und unsere E-Mails und SMS-Nachrichten überwacht? Vielleicht, weil die NSA unser Leben nicht direkt beeinträchtigt, zumindest haben wir nicht das Gefühl, dass sie es tut, denn wir spüren ihre Eingriffe nicht unmittelbar.

Doch Oliver fand in seinen Interviews am Times Square auch heraus, dass die amerikanische Bevölkerung sehr wohl um ihre Privatsphäre besorgt ist, wenn es um intime Dinge geht. Er konfrontierte die Befragten mit einem geheimen (und erfundenen) Regierungsprogramm, bei dem Nacktaufnahmen gespeichert werden, sobald sie über das Internet versendet werden. Die New Yorker waren wieder weitgehend einer Meinung, nur dieses Mal waren alle absolut dagegen. Ein Passant gab sogar zu, kürzlich ein Nacktfoto versendet zu haben.

Jeder der Befragten stimmte der Ansicht zu, dass es den Menschen in den USA möglich sein sollte, einfach alles über das Internet vertraulich zu teilen – selbst ein Foto von einem Penis. Und genau das war Snowdens Kernaussage.

Tatsächlich ist ein Regierungsprogramm wie das erfundene, das Nacktaufnahmen speichert, gar nicht so weit hergeholt, wie man denken könnte. Wie Snowden im Interview mit Oliver erklärte, sind die Server von Firmen wie Google über die ganze Welt verteilt. Deshalb könnte auch eine einfache Nachricht (vielleicht mit einem Nacktfoto), die eine Frau ihrem Mann innerhalb einer Stadt in den USA sendet, über einen Server im Ausland gehen. Da die Daten also die USA verlassen, wenn auch nur für den Bruchteil einer Sekunde, wäre es der NSA aufgrund des Patriot Acts​4 erlaubt, sie zu erfassen und zu archivieren. Sie dürfte die Nachricht inklusive des anstößigen Fotos also speichern, weil sie rein technisch gesehen in dem Moment, in dem sie abgefangen wurde, vom Ausland in die USA kam. Was Snowden damit sagen möchte: Jeder durchschnittliche US-Bürger ist von der Großfahndung betroffen, die nach den Anschlägen des 11. September gestartet wurde – eine Fahndung, die eigentlich dazu gedacht war, ausländische Terroristen zu fassen, die jetzt aber so gut wie jeden Bürger überwacht.

Wenn man sich die vielen Nachrichten über Datenpannen und die Überwachungskampagnen​ der Behörden ansieht, sollte man doch meinen, dass sich viel mehr Menschen darüber aufregen würden. Man sollte meinen, dass wir angesichts der Tatsache, dass sich diese Vorfälle in so schneller Folge – innerhalb nur weniger Jahre – ereignen, erschüttert und schockiert sein und auf die Barrikaden gehen müssten. Doch genau das Gegenteil ist der Fall. Viele Menschen, und sicher auch viele Leser dieses Buches, haben sich damit abgefunden, dass alles, was sie tun, ihre Telefonate, Nachrichten, E-Mails und Social-Media-Posts, von anderen mitgehört bzw. mitgelesen werden.

Und das ist wirklich enttäuschend.

Vielleicht haben Sie noch nie gegen das Gesetz verstoßen. Sie leben ein ganz normales, durchschnittliches, ruhiges Leben und haben das Gefühl, sich völlig unbeobachtet inmitten vieler anderer im Internet zu bewegen. Glauben Sie mir: Auch Sie sind nicht unsichtbar​.

Zumindest noch nicht.

Ich liebe Zaubertricks, und man könnte auch sagen, dass ich fürs Hacken von Computern einige Taschenspielertricks beherrschen muss. Einer der berühmtesten Zaubertricks ist das Verschwindenlassen eines Gegenstands. Das Geheimnis dieses Tricks besteht darin, dass der Gegenstand nicht wirklich verschwindet oder unsichtbar wird. Stattdessen bleibt er einfach immer im Hintergrund – mal hinter einem Vorhang, mal im Jackenärmel oder in der Tasche –, egal, ob wir ihn dort sehen können oder nicht.

Und genauso ist es mit den Unmengen an persönlichen Daten von praktisch jedem Einzelnen von uns, die ohne unser Wissen gesammelt und gespeichert werden. Die meisten von uns wissen gar nicht, wie einfach es für andere ist, sich diese privaten Dinge anzusehen, oder wie man an sie herankommt. Und nur weil wir selbst diese Informationen nicht sehen, denken wir, wir wären unsichtbar für unsere Ex-Partner, unsere Eltern, die Schulen, unsere Chefs und sogar für die Regierung.

Doch tatsächlich sind diese Daten für jeden zugänglich, der weiß, wo er suchen muss.

Immer wenn ich vor einer Gruppe spreche, ganz egal, wie groß der Raum ist, gibt es darunter jemanden, der eben diese Tatsache anzweifelt. Nach einem Vortrag in einer größeren Stadt in den USA sprach mich beispielsweise eine skeptische Journalistin an. Ich saß an einem Tisch in der Hotelbar, als sie zu mir kam und mir erklärte, sie sei noch nie Opfer einer Datenpanne gewesen. Da sie noch jung sei, habe sie noch nicht viel veröffentlicht und dementsprechend gäbe es kaum Einträge zu ihrem Namen. Sie ließe niemals etwas Persönliches in ihre Beiträge einfließen und sei auch in den sozialen Medien zurückhaltend – alles auf professioneller Ebene. Sie glaubte, sie sei unsichtbar. Also fragte ich sie, ob ich ihre Sozialversicherungsnummer und andere persönliche Informationen über sie online suchen dürfe. Etwas zögerlich stimmte sie zu.

Und ​so saß sie neben mir, als ich mich auf einer speziellen Seite für private Ermittler einloggte. Ich gelte als ein solcher, weil ich weltweit Hackerangriffe untersuche. Ihren Namen kannte ich schon, nun fragte ich sie noch, wo sie wohnt. Das hätte ich aber auch über eine andere Internetseite herausfinden können, wenn sie es mir nicht gesagt hätte.

Innerhalb weniger Minuten hatte ich ihre Sozialversicherungsnummer, ihren Geburtsort und den Mädchennamen ihrer Mutter ermittelt. Ich kannte außerdem alle Orte, an denen sie jemals gelebt hatte, und alle Telefonnummern, die sie je benutzt hatte. Überrascht starrte sie den Bildschirm an und bestätigte, dass all diese Informationen weitestgehend korrekt waren.

Die Nutzung dieser Website ist nur Firmen und Einzelpersonen gestattet, die zuvor überprüft wurden. Für den Zugang wird monatlich eine geringe Gebühr berechnet, pro Anfrage fallen zusätzliche Kosten an und gelegentlich wird kontrolliert, ob ein Nutzer einen legitimen Grund für eine bestimmte Suchanfrage hat.

Auf diese Art lassen sich vergleichbare Informationen über jede beliebige Person beschaffen. Es kostet nur eine kleine Gebühr, und es ist völlig legal.

Haben Sie je ein Online-Formular ausgefüllt oder Informationen an eine Hochschule oder Organisation übermittelt, die etwas online stellt? Oder haben Sie schon mal Fragen zu einem Rechtsfall im Netz gepostet? Falls ja, dann haben Sie diese Informationen aus freien Stücken Dritten zugänglich gemacht, die damit machen können, was sie wollen. Es ist gut möglich, dass einige dieser Daten – wenn nicht sogar alle – jetzt online sind und Unternehmen zur Verfügung stehen, deren Geschäftsmodell darin besteht, jede noch so kleine persönliche Information im Internet einzusammeln. Das Privacy Rights Clearinghouse5 verzeichnet über 130 Firmen, die solche Daten (ob sie nun stimmen oder nicht) über die Bürger zusammentragen.6

Dann gibt es natürlich auch noch die Informationen, die Sie gar nicht freiwillig online veröffentlichen und die dennoch von Unternehmen und Regierungsbehörden regelrecht geerntet werden: an wen Sie E-Mails oder Nachrichten schicken, wen Sie anrufen, wonach Sie im Internet suchen, was Sie kaufen (sowohl online als auch in konventionellen Läden) und wohin Sie unterwegs sind, egal ob zu Fuß oder mit dem Auto. Die Menge an Daten, die über jeden Einzelnen von uns gesammelt wird, wächst jeden Tag exponentiell an.

Dennoch denken Sie jetzt vielleicht, dass Sie sich deswegen keine Sorgen machen müssen. Doch glauben Sie mir: Das müssen Sie. Nach der Lektüre dieses Buches wissen Sie hoffentlich, warum und was Sie dagegen tun können.

Wir leben in dem falschen Glauben, wir hätten so etwas wie Privatsphäre, und das wahrscheinlich schon seit Jahrzehnten.

Es bereitet uns zwar ein gewisses Unbehagen, wie viele Einblicke unsere Regierung, unser Arbeitgeber, unser Chef, unsere Lehrer und unsere Eltern in unser Privatleben haben. Doch da sich diese Situation nach und nach entwickelt hat und wir jede neue digitale Annehmlichkeit bereitwillig angenommen haben, ohne uns gegen die damit verbundenen Eingriffe in unsere Privatsphäre zu wehren, wird es immer schwerer, die Uhr zurückzudrehen. Wer möchte denn schon seine lieb gewonnenen Spielzeuge aufgeben?

Das Leben in einem digitalen Überwachungsstaat ist nicht deshalb gefährlich, weil die Daten gesammelt werden (das können wir sowieso kaum verhindern), entscheidend ist vielmehr die Frage, was mit diesen Daten gemacht wird.

Stellen Sie sich doch nur mal vor, was ein übereifriger Staatsanwalt mit einem umfassenden Dossier über Sie alles anfangen könnte, das aus Rohdaten besteht, die einige Jahre zurückreichen. Daten, die vielleicht in völlig anderen Zusammenhängen gesammelt wurden, existieren heute für immer. Selbst Stephen Breyer, Richter am Obersten Gerichtshof der Vereinigten Staaten, räumte ein, dass es schwer vorherzusehen sei, ob eine Reihe bestimmter Äußerungen einem Staatsanwalt später einmal im Rahmen einer Ermittlung relevant erscheinen könnte.7 Mit anderen Worten: Ein Foto, das Sie betrunken zeigt und das jemand auf Facebook postet, ist vielleicht noch Ihr kleinstes Problem.

Sie denken, Sie haben nichts zu verbergen, sind sich aber nicht ganz sicher? In einem sehr überzeugenden Gastbeitrag im Magazin Wired argumentierte der angesehene IT-Sicherheitsexperte Moxie Marlinspike, dass selbst etwas so Banales wie der Besitz eines kleinen Hummers in den USA einen Verstoß gegen ein Bundesgesetz darstellt.8 »Es spielt dabei keine Rolle, ob man ihn in einem Lebensmittelgeschäft gekauft oder von einer anderen Person bekommen hat, ob er tot ist oder lebendig, ob man ihn gefunden hat, nachdem er eines natürlichen Todes gestorben ist, oder ob man ihn in Notwehr getötet hat.«9 Marlinspike will darauf hinaus, dass es jede Menge kleiner, gemeinhin vernachlässigter Gesetze gibt, die man möglicherweise bricht, weil man sie gar nicht kennt. Doch heute ist die zugehörige Beweiskette aus Daten jederzeit nur ein paar Klicks entfernt und jedem zugänglich, der Interesse daran hat.

Datenschutz ist ein komplexes Thema. Hier gibt es keine Universal-lösungen. Wir alle haben unterschiedliche Gründe dafür, bestimmte persönliche Informationen offen mit Fremden zu teilen, während wir andere Bereiche unseres Lebens geheim halten. Möglicherweise möchten wir einfach nicht, dass unsere bessere Hälfte gewisse persönliche Dinge liest, oder wir wollen unserem Arbeitgeber keine Einblicke in unser Privatleben geben, oder vielleicht haben wir auch wirklich Angst davor, dass Geheimdienste uns ausspionieren.

Das sind sehr unterschiedliche Szenarien, und so kann es nicht die eine Empfehlung geben, die in allen Fällen die richtige ist. Weil unsere Einstellungen zum Thema Privatsphäre also komplex und damit auch individuell unterschiedlich sind, zeige ich Ihnen einfach all das, was wichtig ist – das heißt, was heute mit den heimlich gesammelten Daten geschieht –, und überlasse es dann Ihnen, zu entscheiden, wie Sie persönlich am besten damit umgehen.

In erster Linie soll dieses Buch Ihnen Wege aufzeigen, sich in der digitalen Welt unbeobachtet zu bewegen. Es wird Ihnen Lösungen anbieten, die Sie übernehmen können oder auch nicht. Privatsphäre ist eine persönliche Entscheidung, also wird auch der Grad der Anonymität, den Sie erreichen möchten, individuell verschieden sein.

In diesem Buch stelle ich die These auf, dass jeder Einzelne von uns beobachtet wird, sei es zu Hause oder draußen – egal, ob wir die Straße entlanggehen, in einem Café sitzen oder auf der Autobahn fahren. Ihr Computer, Ihr Telefon, Ihr Auto, Ihre Alarmanlage, ja, sogar Ihr Kühlschrank sind potenzielle Zugangspunkte zu Ihrem Privatleben.

Die gute Nachricht ist, dass ich Ihnen nicht nur Angst machen will, sondern Ihnen auch zeigen möchte, was Sie gegen diesen Mangel an echter Privatsphäre unternehmen können – ein Zustand, der zur Norm geworden ist.

In diesem Buch werden Sie lernen, wie Sie

E-Mails verschlüsseln und sicher verschicken,

durch ein gutes Passwort-Management Ihre Daten schützen,

Ihre echte IP-Adresse vor den Websites, die Sie besuchen, verbergen,

verhindern, dass Ihr Computer getrackt werden kann,

anonym bleiben

und vieles mehr.

Machen Sie sich bereit, die Kunst der Anonymität zu erlernen!

Dieses Buch ist meiner liebevollen Mutter Shelly Jaffe gewidmet und meiner Großmutter Reba Vartanian, die beide während meines gesamten Lebens eine Menge für mich geopfert haben. Ganz egal, in welche Lage ich mich selbst gebracht habe, meine Mutter und meine Oma waren immer für mich da, vor allem dann, wenn ich sie gebraucht habe. Dieses Buch wäre niemals möglich gewesen ohne meine wundervolle Familie, die mir in meinem Leben so viel bedingungslose Liebe und Unterstützung zuteilwerden ließ.

Am 15. April 2013 verstarb meine Mutter nach einem langen Kampf gegen den Lungenkrebs. Das Ende kam nach leidvollen Jahren, die vom Ringen mit den Nebenwirkungen der Chemotherapie geprägt waren. Es gab nur wenige gute Tage nach den schrecklichen Behandlungen, mit denen die moderne Medizin diese Krebsarten bekämpft. Normalerweise bleibt den Patienten nur eine kurze Zeit – meist nur ein paar Monate –, bis sie dieser Krankheit erliegen. Ich empfinde die Zeit, die ich mit meiner Mutter verbringen durfte, während sie diesen schrecklichen Kampf gegen den Krebs führte, als ein großes Glück. Ich bin so dankbar dafür, von solch einer liebevollen und fürsorglichen Mutter großgezogen worden zu sein, und sie war zugleich auch meine beste Freundin. Meine Mutter war ein so unglaublich wunderbarer Mensch und sie fehlt mir sehr.

Am 7. März 2012 starb meine Großmutter überraschend während einer Behandlung im Sunrise Hospital in Las Vegas. Unsere Familie hatte erwartet, dass sie wieder nach Hause zurückkehrt, doch so kam es nicht. Die letzten Jahre des Lebens meiner Großmutter waren durch den Kampf meiner Mutter gegen den Krebs sehr belastet gewesen. Wir vermissen meine Großmutter sehr und ich wünschte, sie wäre hier, um diesen Erfolg mit mir zu genießen.

Ich hoffe, dieses Buch erfüllt die Herzen meiner Mutter und meiner Großmutter mit Freude und dass es sie stolz macht, dass ich Menschen helfe, ihr Recht auf Privatsphäre zu schützen.

Ich wünschte, mein Vater, Alan Mitnick, und mein Bruder, Adam Mitnick, wären hier, um die Veröffentlichung dieses wichtigen Buches zu feiern, das erklärt, wie man in Zeiten, in denen Spionage und Überwachung die Norm sind, anonym sein kann.

Ich hatte das Glück, beim Schreiben dieses Buches mit dem Sicherheits- und Datenschutzexperten Robert Vamosi zusammenarbeiten zu können. Robs bemerkenswerte Sicherheitskenntnisse und seine Talente als Autor umfassen auch seine Fähigkeiten, spannende Geschichten zu finden, Themen zu recherchieren und die Informationen, die ich ihm gebe, in einem Stil und auf eine Art zu Papier zu bringen, dass auch Leser, die keine Technik-Profis sind, sie verstehen können. Ich ziehe meinen Hut vor Rob, der eine enorme Menge harter Arbeit in dieses Projekt investiert hat. Um ehrlich zu sein, ohne ihn hätte ich das nicht geschafft.

Ich möchte unbedingt auch den Menschen danken, die meine berufliche Karriere begleitet und sich auf außergewöhnliche Art eingebracht haben. Mein Literaturagent David Fugate von LaunchBooks handelte den Vertrag aus und vermittelte zwischen dem Verlag Little, Brown. Das Konzept zu Die Kunst der Anonymität im Internet wurde von John Rafuse von 121 Minds entwickelt, der mein Agent für Vorträge und andere Engagements ist, und er kümmert sich auch um die strategische Geschäftsentwicklung in meinem Unternehmen. Ganz auf eigene Initiative kam John mit einer faszinierenden Buchidee auf mich zu und brachte auch gleich einen Cover-Entwurf mit. Er ermutigte mich sehr, dieses Buch zu schreiben, um die Menschen auf der Welt zu lehren, wie sie ihr Recht auf Privatsphäre vor Übergriffen durch Big Brother und Big Data schützen können. John ist klasse.

Ich bin dankbar dafür, dass ich mit Little, Brown an der Entwicklung dieses aufregenden Projekts arbeiten konnte. Mein Dank gilt meinem Lektor, John Parsley, für all seine harte Arbeit und seine großartigen Ratschläge bei diesem Projekt. Danke, John.

Ich möchte meinem Freund Mikko Hypponen, Chief Research Officer bei F-Secure, dafür danken, dass er seine wertvolle Zeit dem Schreiben eines Vorworts für dieses Buch gewidmet hat. Mikko ist ein sehr renommierter Sicherheits- und Datenschutzexperte, dessen Schwerpunkt seit über 25 Jahren die Malware-Forschung ist.

Ich möchte auch Tomi Tuominen von F-Secure danken, dass er sich zwischen seinen beruflichen Terminen Zeit genommen hat, das Manuskript unter technischen Gesichtspunkten durchzusehen und mir zu helfen, Fehler zu entdecken und alles, was zuvor übersehen wurde.

Jennifer Lawrence konnte das lange Wochenende am Labor Day wohl nicht genießen. Die Oscarpreisträgerin war eine von mehreren Prominenten, die eines Morgens im September 2014 feststellen mussten, dass ihre intimsten Fotos – darunter zahlreiche Nacktaufnahmen​ – überall im Internet kursierten.

Halten Sie einfach mal einen Moment lang inne und lassen Sie all die Fotos vor Ihrem geistigen Auge vorüberziehen, die momentan auf Ihrem Computer, Ihrem Smartphone oder bei Ihrem E-Mail-Provider gespeichert sind. Sicher, viele davon sind völlig harmlos. Es würde Ihnen überhaupt nichts ausmachen, wenn die ganze Welt die Sonnenuntergänge, die niedlichen Schnappschüsse von Ihrer Familie oder sogar das witzige Selfie mit Ihren verstrubbelten Haaren zu sehen bekäme. Aber wären Sie wirklich damit einverstanden, jedes einzelne Foto mit der Öffentlichkeit zu teilen? Wie würden Sie sich fühlen, wenn plötzlich all diese Bilder online auftauchten? Auch wenn sie nicht alle im engeren Sinne anzüglich sind, so sind private Fotos doch Aufnahmen intimer Momente. Wir sollten selbst entscheiden können, ob, wann und auf welche Art wir solche Bilder mit anderen teilen, doch wenn wir Cloud-Dienste​ nutzen, haben wir diese Wahl oft nicht.

Was Jennifer Lawrence passiert war, beherrschte während des langen Labor-Day-Wochenendes die Nachrichten. Es war Teil eines Vorfalls, der als »The Fappening« bekannt wurde: ein großer Leak​1, bei dem Nackt- und Beinahe-Nacktfotos von Rihanna, Kate Upton, Kaley Cuoco, Adrianne Curry und fast 300 weiteren Stars – hauptsächlich Frauen – öffentlich wurden, weil man es irgendwie geschafft hatte, auf deren Handyfotos zuzugreifen und diese zu verbreiten. Wie nicht anders zu erwarten, waren einige Leute durchaus interessiert daran, sich diese Fotos anzusehen. Doch vielen Menschen rief dieses Ereignis auch auf beunruhigende Art in Erinnerung, dass ihnen das Gleiche hätte passieren können.

Wie konnte es also dazu kommen, dass jemand auf die privaten Fotos von Jennifer Lawrence und den anderen zugreifen konnte?

Da all diese Stars ein iPhone hatten, konzentrierten sich die Spekulationen zunächst auf eine schwere Datenpanne bei Apples iCloud, einem Cloud-Speicher-Dienst ​für iPhone-Nutzer. Dabei werden Fotos, neue Dateien, Musik und Spiele, sobald auf dem physischen Gerät kein Platz mehr ist, stattdessen auf einem Server von Apple gespeichert, normalerweise für eine geringfügige monatliche Gebühr. Google bietet einen ähnlichen Service für Android-Handys an.

Apple, ein Unternehmen, das sich sonst so gut wie nie zu Datenschutzfragen in den Medien äußert, stritt jeden Fehler auf seiner Seite ab und bezeichnete den Vorfall als »gezielten Angriff auf Benutzernamen, Passwörter und Sicherheitsfragen«. Weiter heißt es in der Erklärung, dass in keinem der von Apple untersuchten Fälle irgendwelche Pannen in Apple-Systemen, einschließlich der iCloud oder der App »Mein iPhone suchen«, Ursache des Problems waren.2

Die Fotos waren als Erstes in einem Hacker-Forum aufgetaucht, das dafür bekannt war, dass dort kompromittierende Bilder gepostet wurden.3 Innerhalb dieses Forums finden angeregte Diskussionen über die digitalen forensischen Werkzeuge statt, die genutzt werden, um sich solche Fotos heimlich zu beschaffen. Wissenschaftler, Ermittler und Strafverfolgungsbehörden nutzen eben diese Tools, um auf Daten auf elektronischen Geräten oder in der Cloud zuzugreifen, in der Regel zur Aufklärung einer Straftat. Und natürlich dienen diese Tools auch noch anderen Zwecken.

Eines der Tools, das in diesem Forum offen besprochen wurde, war der Elcomsoft Phone Password Breaker​, kurz EPPB, der Strafverfolgungs- und Regierungsbehörden Zugang zur iCloud ermöglichen soll. Er ist frei verkäuflich, und er ist nur eines von vielen derartigen Werkzeugen, wenn auch offenbar das beliebteste in diesem Internetforum. Wer den EPPB einsetzen möchte, braucht den iCloud-Benutzernamen der Zielperson sowie Informationen zu ihrem Passwort. Doch für die Leute, die in diesem Forum​ unterwegs sind, ist die Beschaffung von iCloud-Benutzernamen und Passwörtern kein Problem. Und so kam es, dass jemand an einem Feiertagswochenende im Jahr 2014 auf einer beliebten Onlineplattform für Softwareentwickler (GitHub) ein Tool namens iBrute​ bereitstellte, ein Mechanismus zum Knacken von Passwörtern, der speziell dazu entwickelt worden war, an die iCloud-Zugangsdaten von praktisch jedem zu gelangen.

Nutzt man iBrute und EPPB zusammen, kann man sich als eine andere Person ausgeben, um sich dann eine vollständige Kopie der in der Cloud gespeicherten iPhone-Daten dieses Opfers auf ein anderes Gerät herunterzuladen. Dass dies grundsätzlich möglich ist, kommt Ihnen zugute, wenn Sie beispielsweise Ihr Telefon gegen ein neueres Modell austauschen. Doch ein Angreifer kann diese Funktion ausnutzen und so alles sehen, was Sie jemals mit Ihrem mobilen Gerät gemacht haben. Er kommt dadurch an weit mehr Informationen, als wenn er sich lediglich in den iCloud-Account seines Opfers einloggen würde.

Der Forensiker und Sicherheitsexperte Jonathan Zdziarski erklärte dem Magazin Wired, dass seine Untersuchungen, beispielsweise der unbefugt veröffentlichten Fotos von Kate Upton, auf den Gebrauch von iBrute und EPPB hindeuteten. Durch den Zugriff auf ein wiederhergestelltes iPhone-Back-up erlangt ein Angreifer jede Menge persönlicher Informationen, mit denen er das Opfer später erpressen kann.4

Im Oktober 2016 wurde der 36-jährige Ryan Collins aus Lancaster, Pennsylvania, im Zusammenhang mit diesem Hackerangriff ​zu einer 18-monatigen Gefängnisstrafe verurteilt, und zwar wegen des »unbefugten Zugriffs auf geschützte Computer, um an Informationen zu gelangen«. Konkret wurde er des illegalen Zugriffs auf über 100 Apple- und Google-E-Mail-Konten beschuldigt.5

Um Ihren iCloud- oder einen anderen Online-Account zu schützen, brauchen Sie ein gutes Passwor​t. Das versteht sich eigentlich von selbst. Und doch weiß ich aus meiner Erfahrung als Penetrationstester (Pen-Test​er) – also als jemand, der dafür bezahlt wird, Computernetzwerke zu hacken, um deren Schwachstellen zu finden –, dass viele Leute, sogar Führungskräfte großer Unternehmen, ziemlich faul sind, wenn es um Passwörter geht. Kaum zu glauben, doch Michael Lynton, CEO von Sony Entertainment, nutzte »sonyml3« als Passwort für sein Domain-Benutzerkonto. Da ist es nun wahrlich nicht überraschend, dass seine E-Mails gehackt und im Netz verbreitet wurden, zumal die Angreifer den administrativen Zugriff auf fast alles innerhalb des Unternehmens hatten.

Neben den Passwörtern​ im beruflichen Kontext gibt es auch noch die, die Ihre ganz privaten Konten schützen. Ein Passwort, das schwer zu erraten ist, bietet zwar auch keinen echten Schutz vor Hacking-Tools wie oclHashcat​ (ein Passwort-Cracker, der Grafikprozessoren – sogenannte GPUs – zum ultraschnellen Knacken von Passwörtern einsetzt), doch immerhin würde es den Prozess so sehr verlangsamen, dass sich der Hacker möglicherweise ein leichteres Ziel sucht.

Im Juli 2015 wurde das Seitensprungportal Ashley Madison ​Ziel eines Hackerangriffs. Man kann davon ausgehen, dass viele der Passwörter, die dabei öffentlich wurden, auch an anderer Stelle genutzt werden, zum Beispiel fürs Onlinebanking oder für Arbeitsrechner. Am häufigsten tauchten unter den 11 Millionen online geposteten Ashley-Madison-Passwörtern folgende Kombinationen auf: »123456«, »12345«, »password«, »DEFAULT«, »123456789«, »qwerty«6, »12345678«, »abc123« und »1234567«. Haben Sie eines Ihrer eigenen Passwörter wiedererkannt? Dann sind Ihre Daten alles andere als sicher, da diese gängigen Passwörter in fast alle Tools zum Knacken von Passwörtern ​integriert sind, die im Netz kursieren. In jedem Fall ist es sinnvoll, ab und zu auf der Seite www.haveibeenpwned.com zu überprüfen, ob der eigene Account bereits gehackt wurde.

Im 21. Jahrhundert können wir bessere Passwörter​ finden – wesentlich bessere, mit längeren und viel komplizierteren Kombinationen aus Buchstaben und Ziffern. Das klingt zunächst schwierig, aber ich zeige Ihnen sowohl eine maschinelle als auch eine händische Methode, um das zu bewerkstelligen.

Am einfachsten ist es, sich die Passwörter nicht mehr selbst auszudenken, sondern den gesamten Prozess zu automatisieren. Dazu gibt es verschiedene digitale Passwort-Manager​. Diese speichern nicht nur die Passwörter an einem gesicherten Ort ab, an dem sie bei Bedarf mit nur einem Klick zugänglich sind, sondern sie generieren auch ein neues, wirklich starkes, einzigartiges Passwort für jede Seite, für die man eines braucht.

Man sollte sich aber darüber im Klaren sein, dass diese Lösung zwei Nachteile hat. Der erste ist, dass es ein Master-Passwort gibt, das Zugang zum Passwort-Manager gewährt. Wenn nun jemand Ihren Computer mit einem Schadprogramm​ infiziert, das durch Keylogging​, also das Überwachen sämtlicher Tastatureingaben, Ihr Master-Passwort und Ihren Passwort-Speicher stiehlt, dann heißt es: Game over. Diese Person kennt dann alle Ihre Passwörter. Bei meinen Jobs als Pen-Tester habe ich manchmal den Passwort-Manager durch eine modifizierte Version ersetzt (das funktioniert nur bei quelloffenen Passwort-Managern), die uns das Master-Passwort übermittelte. Vorher hatten wir uns bereits den Admin-Zugang zum Netzwerk unseres Auftraggebers verschafft. Nun hatten wir es auf all die vertraulichen Passwörter abgesehen. Mit anderen Worten: Wir nutzten den Passwort-Manager als Hintertür, um an die Schlüssel zum Königreich zu gelangen.

Der andere Nachteil liegt auf der Hand: Wenn Sie das Master-Passwort verlieren, dann verlieren Sie alle Ihre Passwörter. Im Grunde ist das nicht so schlimm, schließlich können Sie ja auf jeder einzelnen Website Ihr Passwort zurücksetzen lassen, aber wenn Sie viele Accounts haben, ist das ein Riesenaufwand.

Ungeachtet dessen sollten die folgenden Tipps mehr als ausreichend sein, um einen hohen Passwortschutz sicherzustellen:

Zunächst einmal sollten Sie keine Passwörter, sondern sogenannte »Passphrasen« verwenden. Gute Passphrasen sind lang: mindestens 20 bis 25 Zeichen. Zufällige Zeichenfolgen wie ek5iogh#skf&skd eignen sich am besten. Leider können sich Menschen solche Zufallsfolgen nur schwer merken. Aus diesem Grund sollten Sie einen Passwort-Manager nutzen. Damit fahren Sie wesentlich besser, als wenn Sie sich Ihre Passwörter selbst ausdenken. Ich bevorzuge Open-Source-Passwort-Manager wie Password Safe und KeePass, die Daten nur lokal auf dem Rechner abspeichern.

Eine weitere wichtige Regel für mehr Passwort-Sicherheit lautet: Nutzen Sie niemals dasselbe Passwort für zwei oder mehr Accounts. Ich weiß, das ist hart, denn heutzutage braucht man für nahezu alles ein Passwort. Das spricht also wieder für den Einsatz eines Passwort-Managers, der beliebig viele gute, einzigartige Passwörter generiert und auch speichert.

Doch selbst wenn Sie ein starkes Passwort haben, kann man Sie mit der richtigen Technologie überlisten. Es gibt Programme, die Passwörter erraten​, wie John the Ripper​, ein kostenloses Open-Source-Programm, das sich jeder herunterladen kann.7 Es arbeitet nach den vom Benutzer eingestellten Konfigurationsparametern, das heißt, dass man beispielsweise angeben kann, wie viele Zeichen beim Raten genutzt werden sollen, ob auch Sonderzeichen oder Zeichensätze aus anderen Sprachen berücksichtigt werden sollen usw. John the Ripper und die anderen Passwort-Cracker vertauschen dann immer wieder die Zeichen anhand bestimmter Regeln, die sich als extrem effektiv zum Knacken von Passwörtern erwiesen haben. Letztlich läuft es darauf hinaus, dass sie so lange jede mögliche Kombination aus Ziffern, Buchstaben und Symbolen innerhalb der vorgegebenen Parameter ausprobieren, bis sie Erfolg haben. Doch zum Glück legen sich die meisten von uns nicht gleich mit ganzen Staaten an, denen unbegrenzt Zeit und Ressourcen zur Verfügung stehen. Wesentlich wahrscheinlicher ist es, dass wir es mit unserem Partner oder einem Familienmitglied zu tun haben oder mit jemandem, dem wir auf den Schlips getreten sind. Diese Leute haben weder die Zeit noch die Ressourcen, um ein 25-stelliges Passwort zu knacken.

Nehmen wir nun mal an, dass Sie sich entschieden haben, Ihre Passwörter ​auf die altmodische Art zu generieren, und dass Sie sich wirklich sichere Passwörter ausgedacht haben. Es mag Sie überraschen, aber es ist tatsächlich völlig okay, sie aufzuschreiben. Nur sollten Sie nicht schreiben: »Postbank: 4the1sttimein4ever*.« Das wäre zu offensichtlich. Stattdessen sollte man den Namen, also im Beispiel den der Bank, durch etwas Kryptisches ersetzen, etwa »Keksdose« (weil manche Leute früher ihr Geld in Keksdosen versteckt haben) und sich dazu dann nur »4the1st.« notieren. Der vollständige Satz ist gar nicht nötig, denn der Rest fällt einem dann von selbst ein. Aber jemand anderem vielleicht nicht.

Jeder, der eine ausgedruckte Liste mit solchen unvollständigen Passwörtern findet, sollte einigermaßen verwirrt sein – zumindest am Anfang. Dazu eine kleine Geschichte: Ich war bei einem Freund, einem sehr bekannten Microsoft-Mitarbeiter, zu Besuch. Während des Abendessens sprachen wir mit seiner Frau und seinem Kind über die Sicherheit von Passwörtern. Plötzlich stand die Frau meines Freundes auf und ging zum Kühlschrank. Sie hatte all ihre Passwörter auf einen einzigen Zettel geschrieben und diesen mit einem Magneten an die Kühlschranktür gepinnt. Mein Freund schüttelte nur den Kopf, und ich konnte mir ein Grinsen nicht verkneifen. Passwörter aufzuschreiben ist sicherlich keine optimale Lösung, selten genutzte starke Passwörter zu vergessen allerdings ebenfalls nicht.

Einige Websites​, zum Beispiel die von Banken, sperren den Zugang nach mehreren falschen Passworteingaben, in der Regel drei. Es gibt aber auch noch immer viele Websites, die das nicht tun. Und selbst wenn eine Seite jemanden nach drei Fehlversuchen aussperrt, ist das kein wirklicher Schutz, denn die Bösewichte nutzen John the Ripper​ oder oclHashcat​ sowieso auf eine andere Art. (oclHashcat ist übrigens viel wirkungsvoller als John the Ripper, weil es den Hacking-Prozess auf mehrere GPUs verteilt.) Hacker probieren in der Regel nicht alle möglichen Passwörter live auf der Seite aus.

Angenommen, es gab eine Datenpanne und im Datenschutt, der dabei zutage tritt, befinden sich auch Nutzernamen und Passwörter. Doch diese Passwörter sind zunächst einmal ein ziemliches Durcheinander. Wie kann das also jemanden dabei helfen, in Ihren Account einzubrechen?

Dazu müssen Sie Folgendes wissen: Immer dann, wenn Sie ein Passwort eingeben, sei es nun, um Ihren Laptop freizuschalten oder um einen Online-Dienst zu nutzen, durchläuft das Passwort den Algorithmus einer Einwegfunktion, bekannt als Hashfunktion​ bzw. Streuwertfunktion​. Das ist nicht das Gleiche wie Verschlüsselung. Eine Verschlüsselung geht in beide Richtungen, das heißt, man kann sowohl ver- als auch entschlüsseln, wenn man den Schlüssel hat. Ein Hash dagegen ist wie ein Fingerabdruck, der eine bestimmte Zeichenfolge repräsentiert. Eine solche Einwegfunktion lässt sich nicht umkehren, zumindest nicht leicht.

In der Passwort-Datenbank Ihres herkömmlichen PCs, Ihres mobilen Endgeräts oder Ihres Accounts in der Cloud ist nicht »AlleMeineEntchen12345&« gespeichert, sondern dessen Hashwert​. Diese Folge aus Zahlen und Buchstaben ist ein sogenanntes Token​, das für das entsprechende Passwort steht.8

Im geschützten Speicherbereich Ihres Computers befinden sich also nicht die Passwörter selbst, sondern die Passwort​-Hashwerte, und diese sind es auch, die bei einem gezielten Angriff oder einer Datenpanne in falsche Hände geraten können. Sobald ein Hacker diese Passwort-Hashwerte hat, stehen ihm verschiedene öffentlich zugängliche Tools wie John the Ripper oder oclHashcat zur Verfügung, um den Hash zu knacken und an das eigentliche Passwort zu gelangen, sei es auf die brachiale Art, das heißt mit der sogenannten Brute-Force-Methode (jede mögliche alphanumerische Kombination ausprobieren), oder indem er eine Liste von Wörtern, beispielsweise ein Wörterbuch, nutzt. John the Ripper und oclHashcat erlauben es, die Wörter, die man ausprobiert, nach bestimmten Regel zu modifizieren. Dazu stehen zahlreiche Algorithmen zur Wahl, zum Beispiel »Leetspeak«, ein System, bei dem Buchstaben durch Ziffern ersetzt werden, zum Beispiel »k3v1n m17n1ck«. Dieser Algorithmus würde also alle Passwörter in verschiedene Leetspeak-Varianten umwandeln. Solche Methoden zum Knacken von Passwörtern sind natürlich wesentlich effektiver als »Brute Force«. Die einfachsten und verbreitetsten Passwörter werden als Erstes geknackt, bei den komplexeren dauert es etwas länger. Wie lange genau, hängt von verschiedenen Faktoren ab.

Wenn Hacker nun also einen Passwort-Cracker zusammen mit einem geklauten Benutzernamen und einem Passwort-Hash einsetzen, können sie sich Zugang zu einem oder mehreren Ihrer Accounts verschaffen. Dazu probieren sie das Passwort auf weiteren Websites aus, die mit Ihrer E-Mail-Adresse oder anderen Erkennungszeichen in Verbindung stehen.

Im Allgemeinen gilt: Je mehr Zeichen Ihr Passwort hat, desto länger brauchen Programme wie John the Ripper, um alle erdenklichen Varianten auszuprobieren. Doch da die Prozessoren der Computer immer schneller werden, hat sich auch die Zeit, die nötig ist, um beispielsweise alle möglichen sechs- oder sogar achtstelligen Passwörter zu berechnen, deutlich verkürzt. Aus diesem Grund empfehle ich Ihnen, Passwörter mit 25 oder mehr Zeichen zu verwenden.

Nachdem Sie nun sichere Passwörter generiert haben – und zwar viele davon –, lautet die Regel: Verraten Sie sie niemandem. Eine Selbstverständlichkeit, sollte man meinen. Untersuchungen in London und anderen Großstädten haben jedoch gezeigt, dass Leute bereit sind, im Austausch gegen banale Dinge wie einen Stift oder ein Stück Schokolade ihr Passwort preiszugeben.9

Ein Freund von mir gab einmal seiner Freundin sein Netflix-Passwort​. Es war einfach praktisch zu diesem Zeitpunkt, er fand es schön, dass sie nun den Film aussuchen konnte, den sie dann beide zusammen anschauten. Doch bei den Filmempfehlungen von Netflix stehen unweigerlich auch die »Weil Sie ... gesehen haben«-Filme, darunter auch solche, die er mit seinen Exfreundinnen gesehen hatte. Die Abenteuerkomödie Eine für 4 war zum Beispiel ein Film, den er sich alleine niemals angesehen hätte – und seine Freundin wusste das.

Natürlich hat jeder eine Vergangenheit, und man fände es wahrscheinlich sogar merkwürdig, sich mit jemandem zu treffen, der vorher in keiner Beziehung war. Aber welche Freundin möchte schon plötzlich ganz unmittelbar mit dem Beweis für die Existenz dieser Vorgängerinnen konfrontiert werden?

Genauso wie man Online-Dienste durch Passwörter schützt, sollte man auch den Zugang zu seinen verschiedenen Geräten​​​ mit Passwörtern sichern. Die meisten von uns habe heute einen Laptop, viele auch noch einen Desktop-PC​. Vielleicht sind Sie gerade allein zu Hause, aber was ist mit den Gästen, die später zum Abendessen vorbeischauen? Wollen Sie es wirklich darauf ankommen lassen, dass einer von ihnen Ihre Dokumente, Fotos und Spiele sieht, einfach indem er an Ihrem Schreibtisch sitzt und die Maus bewegt? Dazu gleich noch ein abschreckendes Beispiel in Zusammenhang mit Netflix, das sich zu der Zeit ereignete, als Netflix noch vor allem DVDs per Post verschickte. Damals spielte jemand einem Paar, das ich kenne, einen fiesen Streich. Während einer Party bei sich zu Hause ließen die beiden den Browser und ihren Netflix-Account offen. Einige Zeit später entdeckten sie dann jede Menge anzüglicher B- und C-Movies auf ihrer Warteliste – allerdings erst, nachdem bereits einige dieser Filme in ihrem Briefkasten gelandet waren.

Noch wichtiger ist der Passwortschutz ​im Büro​. Überlegen Sie mal, wie oft es vorkommt, dass Sie plötzlich den Schreibtisch verlassen müssen, weil Sie jemand zu einer spontanen Besprechung ruft. Jeder, der an Ihrem Schreibtisch vorbeikommt, könnte dann das Kalkulationsblatt für das Budget des nächsten Quartals sehen oder all die E-Mails in Ihrem Posteingang. Und wenn Sie Ihren Schreibtisch für längere Zeit verlassen, etwa in der Mittagspause oder für ein längeres Meeting, kann es sogar noch schlimmer kommen: Jemand könnte von Ihrem Schreibtisch aus in Ihrem Namen eine E-Mail schreiben oder die Zuteilung des Budgets fürs nächste Quartal verändern – es sei denn, Sie haben einen passwortgeschützten Bildschirmschoner, der nach ein paar Sekunden Inaktivität von allein startet.

Um sich zu schützen, gibt es zudem sehr kreative Methoden, etwa eine Software zum Sperren des Bildschirms​​, die Bluetooth​ nutzt, um zu prüfen, ob Sie sich in der Nähe Ihres Computers befinden. Sobald Ihr Handy nicht mehr in Bluetooth-Reichweite ist, weil Sie beispielsweise mal kurz zur Toilette gehen, wird der Bildschirm sofort gesperrt. Es gibt auch Varianten dieser Software, die ein anderes Bluetooth-Gerät, zum Beispiel ein Armband oder eine Smartwatch, verwenden und dasselbe leisten.

Online-Accounts und -Dienste mit Passwörtern zu schützen ist zwar sinnvoll, hilft aber auch nichts, sobald jemand das physische Gerät in seinen Besitz bringt, vor allem dann nicht, wenn diese Online-Accounts auch noch offen sind. Wenn es also eine Gruppe von Geräten gibt, die auf jeden Fall passwortgeschützt​​ sein sollte, dann sind es die mobilen. Bei ihnen ist das Risiko, dass sie gestohlen werden, am größten. Dennoch fand die Verbraucherorganisation Consumer Reports heraus, dass 34 Prozent der US-Amerikaner ihr Mobilgerät überhaupt nicht schützen, nicht einmal mit einer einfachen vierstelligen PIN zum Entsperren des Bildschirms.10

Im Jahr 2014 gab ein Polizist in der Stadt Martinez in Kalifornien zu, Nacktfotos ​vom Handy einer Frau gestohlen zu haben, die wegen des Verdachts auf Alkohol am Steuer mit der Polizei zu tun hatte. Die Tat des Polizisten ist eindeutig ein Verstoß gegen den 4. Zusatzartikel zur Verfassung der Vereinigten Staaten, der amerikanische Bürger vor staatlichen Übergriffen schützen soll.11 Insbesondere verbietet dieser Artikel unangemessene Durchsuchungen und Beschlagnahmungen, die ohne richterlichen Beschluss und ohne hinreichenden Verdacht durchgeführt werden. Konkret bedeutet das, dass amerikanische Polizisten beispielsweise begründen müssen, warum sie Zugang zu einem Mobiltelefon haben wollen.

Es gibt also mehr Situationen, in denen ein Mobiltelefon in falsche Hände geraten kann, als man vielleicht zunächst denkt. Wenn Ihr Handy bisher noch nicht passwortgeschützt ist, nehmen Sie sich doch einfach jetzt einen Moment Zeit und kümmern Sie sich darum.

Üblicherweise lässt sich ein Smartphone auf drei verschiedene Arten sperren​, egal, ob man Android, iOS oder ein anderes Betriebssystem nutzt. Am bekanntesten ist die PIN, ein Code aus Ziffern​​, die in der richtigen Reihenfolge eingegeben werden müssen, um das Gerät zu entsperren. Sie müssen sich dabei nicht auf die Anzahl an Stellen beschränken, die Ihr Telefon vorschlägt, sondern können in den Einstellungen manuell einen sichereren Code festlegen, beispielsweise einen siebenstelligen (so lang waren auch die Telefonnummern, die Sie sich in Ihrer Kindheit noch selbst merken mussten). Auf jeden Fall sollten es mehr als vier Stellen​​ sein.

Bei einigen Mobilgeräten ist es auch möglich, einen textbasierten Code einzustellen, der wie das [hier] beschriebene Beispiel aussieht. Auch hier gilt wieder, dass Sie mindestens sieben Zeichen verwenden sollten. Moderne Geräte zeigen auf der Bildschirmtastatur sowohl Ziffern- als auch Buchstaben gleichzeitig an, was es leichter macht, zwischen diesen Zeichengruppen zu wechseln.

Eine andere Sperrmethode arbeitet visuell: Seit 2008 sind Android-Handys mit einer sogenannten Mustersperre​​ ausgestattet. Dabei erscheinen neun Punkte auf dem Bildschirm, die man in beliebiger Reihenfolge miteinander verbinden kann. Diese Reihenfolge bildet dann den Code zum Entsperren des Geräts. Eine geniale Methode, könnte man meinen, schließlich ist die Sequenz aufgrund der schieren Menge an möglichen Kombinationen nahezu nicht zu knacken. Doch Menschen sind nun einmal bis zu einem gewissen Grad berechenbar: Auf der PasswordsCon 2015 berichteten Forscher, dass die Teilnehmer einer Studie nur von wenigen der 140.704 Möglichkeiten, die Punkte zu verbinden, tatsächlich Gebrauch machten.12 Um welche Muster es sich dabei handelte? Oft war es einfach der erste Buchstabe des Namens der Person. Außerdem fand man heraus, dass Menschen tendenziell öfter die Punkte in der Mitte und weniger die in den vier Ecken nutzen. Diese Erkenntnisse sollten Sie im Hinterkopf behalten, wenn Sie das nächste Mal ein solches Muster einstellen.

Schließlich gibt es noch eine dritte Methode: die biometrische Erkennung​​. Apple, Samsung und die anderen bekannten Hersteller bieten den Nutzern derzeit die Option an, zum Entsperren des Smartphones ihren Fingerabdruck​​ scannen zu lassen. Man sollte sich jedoch darüber im Klaren sein, dass selbst diese Methode nicht völlig sicher ist. Nach der Veröffentlichung von Touch ID​ waren Experten überrascht. Vielleicht hatten sie erwartet, dass Apple seine Geräte angesichts der neuen Fingerabdruckscanner​, die aktuell auf dem Markt sind, entsprechend aufrüstet. Sie stellen jedoch fest, dass viele der alten Methoden, mit denen sich die Scanner austricksen lassen, noch immer beim iPhone funktionierten. So kann man beispielsweise mit Babypuder und transparentem Klebeband den Fingerabdruck von einer glatten Oberfläche abnehmen und damit das Gerät entsperren.

Andere Telefone nutzen die eingebaute Kamera, um das Gesicht des Besitzers zu identifizieren, aber auch die Gesichtserkennung​​ lässt sich austricksen, indem man ein hochauflösendes Foto der Person vor die Kamera hält.

Für sich genommen sind biometrische Methoden​ also keineswegs sicher. Im Idealfall stellen sie daher nur eine von mehreren Maßnahmen zur Authentifizierung dar. Scannen Sie also Ihre Fingerkuppe oder schauen Sie in die Kamera und geben Sie anschließend Ihre PIN oder Ihren Sperrcode ein. Auf diese Weise ist Ihr Mobilgerät wirklich gut geschützt.

Was passiert nun, wenn Sie sich ein sicheres Passwort ausgedacht, es aber nicht aufgeschrieben haben? Gerade wenn Sie einen Account nur selten nutzen, ist das Passwort schnell vergessen. Kein Wunder also, dass uns die Möglichkeit, ein Passwort zurücksetzen​ zu lassen, oft wie ein Geschenk des Himmels erscheint. Allerdings haben auch Möchtegern-Hacker durch die Reset-Funktion ein leichtes Spiel. Denn mithilfe der Hinweise, die wir in den sozialen Medien preisgeben, können sie sich Zugang zu unseren E-Mails und anderen Diensten verschaffen, indem sie einfach das Passwort zurücksetzen.

In der Presse wurde beispielsweise ​über einen Fall berichtet, in dem Betrüger herausfanden, wie die letzten vier Stellen der Kreditkartennummer​ ihres Opfers lauteten. Diese nutzten sie dann bei einem Anruf beim Provider des Opfers als Identitätsnachweis, um die autorisierte E-Mail-Adresse ändern zu lassen. Dadurch konnten sie das Passwort zurücksetzen​, ohne dass der rechtmäßige Besitzer des Accounts davon wusste.

​​Im Jahr 2008 wiederum wollte ein Student der University of Tennessee namens David Kernell ausprobieren, ob er es schaffen würde, sich Zugang zum persönlichen Yahoo-E-Mail-Konto​ der damaligen Vizepräsidentschaftskandidatin Sarah Palin ​zu verschaffen.13 Er hätte versuchen können, das Passwort zu erraten, aber wahrscheinlich wäre der Account nach drei Fehlversuchen gesperrt worden. Daher nutzte er stattdessen die Passwort-Reset-Funktion, ein Vorgehen, das er später als »einfach« beschreiben sollte.14

Sicher haben Sie auch schon mal sonderbare E-Mails von Freunden oder Kollegen bekommen, in denen dann Links zu Pornoseiten im Ausland waren, und später erfahren, dass das E-Mail-Konto dieser Person gehackt wurde. Zu solchen feindlichen Übernahmen von E-Mail-Konten kommt es oft, weil deren Passwortschutz zu schwach ist. Entweder jemand kam durch ein Datenleck an das Passwort oder der Eindringling nutzte die Passwort-Reset-Funktion.

Beim Anlegen eines E-Mail- oder sogar Onlinebanking-Accounts​​ werden Ihnen häufig sogenannte Sicherheitsfragen​ gestellt, in der Regel sind es drei. Oft gibt es auch ein Drop-down-Menü, sodass man aus verschiedenen Fragen die auswählen kann, die man beantworten möchte. Die meisten dieser Fragen sind naheliegend.

Wo wurden Sie geboren? Wo gingen Sie zur Schule? Wo haben Sie studiert? Ein Klassiker ist auch die Frage nach dem Mädchennamen der Mutter – offenbar wird dieser schon mindestens seit 1882 als Sicherheitsfrage​ genutzt.15 Weiter unten werde ich ausführlicher darauf eingehen, dass Unternehmen das Internet nach persönlichen Informationen durchsuchen und diese sammeln. Die Antworten auf die üblichen Sicherheitsfragen zu finden, ist daher kinderleicht. Schon nach ein paar Minuten Internetrecherche zu einer bestimmten Person ist man wahrscheinlich in der Lage, deren Sicherheitsfragen zu beantworten.

Erst in der letzten Zeit wurden die Sicherheitsfragen​​ ein wenig verbessert. In den USA könnte eine Frage dann zum Beispiel lauten: »In welchem Bundesstaat wurde Ihr Schwager geboren?« Das ist schon ziemlich speziell, wobei man bedenken sollte, dass das korrekte Beantworten solcher »guten« Fragen wiederum eigene Risiken birgt, auf die ich gleich noch eingehen werde. Aber viele der vermeintlichen Sicherheitsfragen sind nach wie vor zu einfach, etwa: »Was ist der Heimatort Ihres Vaters?«

Grundsätzlich sollten Sie bei der Auswahl der Sicherheitsfragen einen Bogen um die offensichtlichsten im Drop-down-Menü machen. Falls die Seite nur einfache Fragen anbietet, können Sie kreativ damit umgehen. Schließlich sind Sie ja nicht gezwungen, eindeutige oder ehrliche Antworten zu geben. Seien Sie schlau: Sagen Sie Ihrem Video-Streaming-Anbieter doch einfach, Ihre Lieblingsfarbe sei »Tuttifrutti«. Ist das überhaupt eine Farbe? Egal, darauf kommt jedenfalls keiner. Die Antwort, die Sie beim ersten Mal eingeben, gilt fortan als die »korrekte« Antwort auf diese Sicherheitsfrage​.

Wenn Sie mit solchen kreativen Antworten arbeiten, sollten Sie jedoch daran denken, sich die Frage mit der zugehörigen Antwort zu notieren und sie an einem sicheren Ort aufzubewahren (oder dafür einen Passwort-Manager​ zu nutzen). Es kann nämlich später durchaus einmal vorkommen, dass man Ihnen beispielsweise bei einem Anruf beim technischen Support eine der Sicherheitsfragen stellt. Dann sollte der entsprechende Ordner griffbereit oder eine Notiz in der Brieftasche hinterlegt sein, um Sie daran zu erinnern, dass die korrekte Antwort zur Frage »Wo wurden Sie geboren?« in diesem Fall »Im Krankenhaus« lautet. (Natürlich können Sie sich auch eine Reihe kreativer Antworten auf Standardfragen einprägen und sie mehrfach nutzen.) Schon eine so einfache Verschleierungstaktik könnte jemandem einen Strich durch die Rechnung machen, der es nach einer Internetrecherche über Sie bei der Frage nach Ihren Geburtsort mit der sinnvollen Antwort »Berlin« probiert.

Im Hinblick auf den Datenschutz ist das korrekte Beantworten sehr spezifischer Sicherheitsfragen nicht ohne Risiko. Damit geben Sie noch mehr persönliche Informationen preis, als sowieso schon im Umlauf sind. Die korrekte Antwort auf die Frage nach dem Geburtsort Ihres Schwagers könnte beispielsweise von der Website, der Sie die Antwort gegeben haben, verkauft und dann mit anderen Informationen kombiniert oder zum Schließen einer Informationslücke genutzt werden. Aus dieser Frage kann man beispielsweise ableiten, dass Sie verheiratet sind oder waren, dass Ihr (Ex-)Partner mindestens ein Geschwisterteil hat und dass dieses entweder selbst ein Mann ist oder mit einem Mann verheiratet ist, der aus dem genannten Ort stammt. Das sind schon eine Menge zusätzlicher Informationen, die sich aus einer so einfachen Antwort schließen lassen. Falls Sie dagegen gar keinen Schwager haben, nur zu, nutzen Sie die Gelegenheit, um kreativ zu werden, vielleicht mit der Antwort »Puerto Rico«. Damit bringen Sie jeden durcheinander, der ein Profil von Ihnen erstellen möchte. Je mehr solcher Red Herrings16 Sie anbieten, desto unsichtbarer sind Sie im Netz.

Generell sollten Sie beim Beantworten der eher spezifischen Fragen immer abwägen, wie wichtig die Website für Sie ist und ob Sie ihr vertrauen. Vielleicht sind Sie bereit, Ihrer Bank zusätzliche persönliche Informationen anzuvertrauen, nicht aber Ihrem Video-Streaming-Dienst. Und wie sieht es mit der Datenschutzrichtlinie der Website aus? Prüfen Sie, ob es darin offene oder verdeckte Hinweise darauf gibt, dass Daten an Dritte weitergegeben werden könnten.

Kommen wir zurück auf Sarah Palins Yahoo-E-Mail-Konto​​: Um das Passwort zurückzusetzen, musste man ihr Geburtsdatum und ihre Postleitzahl eingeben und folgende Sicherheitsfrage beantworten: »Wo haben Sie Ihren Ehemann getroffen?« Palins Geburtsdatum und ihre Postleitzahl waren natürlich ganz einfach online zu ermitteln, immerhin war sie zu diesem Zeitpunkt die Gouverneurin von Alaska. Die Sicherheitsfrage war da schon ein wenig kniffliger, aber auch hier konnte der Student Kernell die Antwort recherchieren. Palin gab nämlich viele Interviews, in denen sie immer wieder erzählte, ihr Ehemann sei schon ihre Jugendliebe in der Highschool gewesen. Das war, wie sich herausstellte, die richtige Antwort auf die Sicherheitsfrage: »High school«.

Nachdem er das herausgefunden hatte, konnte Kernell das Passwort des Yahoo-Accounts durch ein von ihm selbst gewähltes ersetzen. So konnte er sich alle persönlichen E-Mails von Palin ansehen. Einen Screenshot ihres Posteingangs postete er auf einer Hacker-Website. Palin selbst war aus ihrem E-Mail-Konto ausgesperrt, bis sie selbst das Passwort wieder zurücksetzte.17

Was Kernell da getan hatte, war in den USA illegal, ein Verstoß gegen den sogenannten Computer Fraud and Abuse Act (CFAA)18. Genauer gesagt wurde er in folgenden zwei Anklagepunkten für schuldig befunden: vorausschauende Behinderung der Justiz durch das Vernichten von Aufzeichnungen (eine schwere Straftat) und unautorisierter Zugriff auf einen Computer (eine minderschwere Straftat). 2010 wurde er zu einer einjährigen Gefängnisstrafe und einer anschließenden dreijährigen Bewährungsstrafe verurteilt.19

Wenn Ihr E-Mail​-Konto wie das von Sarah Palin gehackt wurde, ist wieder einmal die Passwort-Reset-Funktion​ gefragt: Als erste Maßnahme sollten Sie nämlich sofort Ihr Passwort ändern. Das neue Passwort sollte sicherer sein, so wie oben beschrieben. Als Nächstes sehen Sie im Ordner »gesendete Nachrichten« nach, was genau in Ihrem Namen verschickt wurde. Gut möglich, dass Sie dabei auf Spam-Nachrichten stoßen, die gleich an mehrere Leute gesendet wurden, möglicherweise sogar an alle Ihre Kontakte. Nun verstehen Sie sicher auch, warum Ihre Freunde Ihnen über die Jahre so viel Spam geschickt haben – auch ihre Accounts wurden gehackt.

Sie sollten auch prüfen, ob jemand eine fremde Adresse in Ihrem Account hinzugefügt hat. Stichwort E-Mail-Weiterleitung​: Ein Hacker, der Zugang zu Ihrem E-Mail-Konto hat, kann sich alle Ihre E-Mails auf sein eigenes Konto weiterleiten lassen. In diesem Fall würden Sie Ihre E-Mails weiterhin ganz normal angezeigt bekommen, doch der Hacker würde sie ebenfalls sehen. Wenn also jemand seine Adresse zur Weiterleitung eingetragen hat, sollten Sie diese umgehend löschen.

Passwörter und PINs tragen also wesentlich zur Sicherheit bei, aber wie Sie gesehen haben, können sie geknackt werden. Sogar noch besser als komplexe Passwörter sind deshalb Authentifizierungsmethoden, die zwei Faktoren kombinieren. Als Reaktion auf die Verbreitung der Nacktfotos von Jennifer Lawrence und anderen Prominenten im Internet richtete Apple eine solche Zwei-Faktor-Authentifizierung (2FA)​​für die iCloud-Dienste ein​.

2FA funktioniert dabei folgendermaßen: Um Ihre Identität als Nutzer zu bestätigen, prüfen Websites oder Apps mindestens zwei von drei Dingen: etwas, das Sie besitzen, etwas, das Sie wissen, und etwas, das Sie sind. Etwas, das Sie besitzen, kann beispielsweise eine Magnetstreifenkarte oder eine Kredit- und Bankkarte mit integriertem Chip sein. Etwas, das Sie wissen, ist oft eine PIN und die Antwort auf eine Sicherheitsfrage. Und etwas, das Sie sind, bezieht sich auf biometrische Methoden – Fingerabdruck-Scans, Gesichtserkennung, Stimmerkennung oder Ähnliches. Je mehr dieser Faktoren Sie erfüllen, desto sicherer ist es, dass Sie der Nutzer sind, der Sie vorgeben, zu sein.

Das klingt nach einer neuen Technologie, ist es aber nicht. Schon seit über 40 Jahren nutzen die meisten von uns 2FA, ohne es zu wissen.

Jedes Mal, wenn Sie am Geldautomaten​ stehen, führen Sie eine 2FA durch. Wie das? Ganz einfach: Sie haben eine Bankkarte (etwas, das Sie besitzen) und eine Geheimnummer (etwas, das Sie wissen). Beides zusammengenommen sagt dem Automaten am Straßenrand, dass Sie Zugang zum Konto haben wollen, auf das die Karte verweist. In einigen Ländern gibt es an Geldautomaten noch weitere Authentifizierungsmaßnahmen, zum Beispiel Gesichtserkennung oder einen Handflächenscan. Dann spricht man von Multi-Faktor-Authentifizierung (MFA)​​.

Etwas​ Vergleichbares ist auch im Netz möglich​. Viele Banken und Einrichtungen aus dem Gesundheitswesen, aber auch kommerzielle E-Mail-Provider und Social-Media-Dienste bieten 2FA an. Das, was Sie wissen, ist dann Ihr Passwort, und das, was Sie besitzen, ist Ihr Handy. Letzteres für den Zugang zur Seite heranzuziehen wird als »out of band«20 bezeichnet, da das Handy nicht mit dem Computer, den man gerade nutzt, verbunden ist. Ist diese Form der 2FA aktiviert, sollte dies einen Angreifer erfolgreich daran hindern, sich Zugang zu Ihrem Account zu verschaffen, solange er nicht auch im Besitz Ihres Mobilgeräts ist.

Nehmen wir beispielsweise an, Sie nutzen Gmail. Wenn Sie 2FA aktivieren möchten, werden Sie zunächst aufgefordert, Ihre Handynummer auf der Gmail-Seite einzugeben. Um Ihre Identität zu prüfen, sendet Ihnen Google eine SMS mit einem sechsstelligen Code. Indem Sie diesen Code anschließend auf der Gmail-Seite angeben, bestätigen Sie, dass dieser Computer mit dieser Handynummer in Verbindung steht.

Von nun an erhalten Sie jedes Mal​, wenn jemand auf einem anderen Computer oder Mobilgerät versucht, Ihr Passwort zu ändern, eine SMS auf Ihr Handy. Jegliche Änderungen in Ihrem Account werden nur gespeichert, wenn der Verifizierungscode aus der SMS auf der Seite eingegeben wird.

Doch auch hier gibt es einen Haken, wie Forscher von Symantec herausfanden: Wenn das Verfahren so abläuft, dass Sie eine SMS​ versenden müssen, um Ihre Identität zu bestätigen, kann jemand, der Ihre Handynummer kennt, ein wenig Social Engineering21 betreiben und Ihren 2FA-geschützten Passwort-Reset-Code stehlen​, wenn Sie nicht aufpassen.22

Das funktioniert so: Ich möchte mir Zugang zu Ihrem E-Mail-Postfach verschaffen, kenne aber Ihr Passwort nicht. Was mir jedoch bekannt ist, ist Ihre Handynummer, denn die findet man ganz leicht über Google. Nun gehe ich auf die Reset-Seite Ihres E-Mail-Providers und starte ein Passwort-Reset, was aufgrund der 2FA dazu führt, dass Ihnen eine SMS​​ mit einem Code geschickt wird. So weit, so gut – und nun?

Ein vor Kurzem stattgefundener Hackerangriff auf ein Handy des politischen Aktivisten DeRay Mckessen zeigte, wie Bösewichte einen Mobilfunkbetreiber dazu bringen können, einen SIM-Karten-Wechsel durchzuführen.23