Lehren aus den Doxing-Angriffen

by Linus Neumann on January 9, 2019

Nach dem öffentlichen Bekanntwerden konnten Täter und Mittäter hinter den ausführlichen Datenveröffentlichungen im “Doxing-Adventskalender” sehr zügig dingfest gemacht werden. Nun ist es Zeit, daraus die richtigen Lehren zu ziehen.

War das ein Superhack?

Nein. Es ist auch nichts, worauf man stolz sein könnte.

  1. “Nur” 50 der 1.000 betroffenen Personen wurde wirklich gehackt – der Rest der Daten stammte aus diesen illegalen Zugriffen und vermutlich aus weiteren Recherchen.
  2. Das Vorgehen war simpel, hatte keine besondere technische Komponente und
  3. der Täter verstand es nicht, seine Spuren zu verwischen um sich nicht erwischen zu lassen.

Das bedeutet aber auch:

  • Ja, die Betroffenen trifft eine Mitschuld, sie hätten sich besser schützen müssen – natürlich rechtfertigt das aber nicht die Taten.
  • Es hätte weitaus schlimmer kommen können, wenn es dem Angreifer um mehr gegangen wäre, als mit seinen Ergebnissen anzugeben.
  • Um so etwas in Zukunft zu verhindern, muss jede(r) Einzelne jetzt handeln, nachher geht das nicht.

Wie kann ich mich schützen?

In der aktuellen Folge des Podcasts Logbuch:Netzpolitik habe ich schon einige Tips dazu gegeben und ausführlicher erklärt: LNP281 Bedenken second.

Auch war es mir eine Freude gestern bei Markus Lanz die wichtigsten Empfehlungen erklären zu dürfen: Markus Lanz vom 8. Januar 2019 (Backup) – An dieser Stelle ein herzliches Dankeschön, insbesondere auch an das äußerst freundliche Team vor Ort. Besonders beeindruckt hat mich auch der Auftritt der Schauspielerin Miriam Märtens.

Für die in den beiden Sendungen ausführlich erklärten Schutzmaßnahmen an dieser Stelle nur eine kleine Checkliste:

  • Passwörter
    • nicht erratbar! (am besten zufällig und ohne jegliches System)
    • so lang wie möglich
    • überall ein unterschiedliches
    • die verschiedenen Passwörter im Password-Safe verschlüsselt und gut gesichert aufbewahren.
    • Regelmäßiges, räumlich getrenntes Backup vom Password-Safe pflegen!
  • 2-Faktor-Authentisierung bei den wichtigsten Accounts aktivieren
    • besonders wichtig ist der E-Mail-Account, aber auch Facebook, Twitter, etc. bieten entsprechende Optionen!
  • Fragen zur Passwortwiederherstellung
    • unbrauchbare, möglichst lange Antworten, die nichts mit der Frage zu tun haben! Der Zoo der Lieblingstiere ist klein, der Geburtsname der Mutter leicht herauszufinden!
    • Aufbewahrung der wirren Antworten im Password-Safe (für den Fall der Fälle)
  • niemals Facebook nutzen
  • niemals Facebook-Authentication nutzen
    • sie erleichtert es einem Angreifer, weitere Accounts zu übernehmen
  • Am besten separate Accounts für Passwortwiederherstellung nutzen
    • eine andere E-Mail-Adresse als die Primäradresse zur Anmeldung von Accounts nutzen.
    • Diese Adresse kann geheim bleiben und sollte nicht zur Kommunikation genutzt werden.
  • Konfiguration des E-mail-Clients (falls einer genutzt wird)
    • HTML deaktivieren
    • externe Inhalte nachladen deaktivieren
    • Vorsicht bei Anhänge und Links in unerwarteten E-Mails
    • Am besten angewöhnen, NIE Links in E-Mails zu klicken, sondern immer manuell zum Anbieter zu surfen.
  • Systeme und Software immer auf dem aktuellen Stand halten:
    • Updates kommen nicht umsonst – und kosten in der Regel nichts!
  • So oft wie möglich Backups machen
    • Nichts anderes hilft, wenn das Gerät verloren geht, Kaffee reingegossen wird, oder doch mal eine Ransomware zuschlägt!
  • Full Disk Encryption
    • Die Vollverschlüsselung aller Datenträger sollte aktiviert sein. Sehr wichtig, wenn das Gerät verloren geht, gestohlen wird, o.ä.
      • Lokale Platte
      • USB-Sticks
      • Backups

Lektionen für die Politik

Eine der ersten Forderungen nach Bekanntwerden des Ausmaßes der Datensammlung lautete nach einem “Hackback” – der Lizenz des Staates, selbst zu Hacken, um Schaden abzuwenden.

Die Angriffe sind viele Monate (teilweise Jahre) her, blieben unbemerkt und die Behörden wurden erst von Betroffenen darauf aufmerksam gemacht. Nun sind die Daten öffentlich und werden es bleiben. Ein “Hackback” ist mit Abstand der maximaldümmste Vorschlag.

Sinnvoll ist hingegen eine strikt defensive Ausrichtung, die sich mit menschliche Kompetenz, Verringerung der Angriffsoberfläche und technischer Qualitätssicherung darum bemüht, dass solche Fälle und die damit verbundenen Schäden minimiert werden.

Ebenfalls groß angekündigt wurde ein “Cyberabwehrzentrum Plus” und ein “IT-Sicherheitsgesetz 2.0” Schon das IT-Sicherheitsgesetz 1.0 hat mich nicht sonderlich beeindruckt, was ich damals auch als Sachverständiger im Innenausschuss des Bundestages erläutert habe.

Ich bin gespannt, ob die neuen beiden Vorschläge (sicherlich werden weitere folgen) sinnvoller und zielgerichteter ausfallen werden.

Lektionen für heranwachsende Hacker Skriptkiddies

Auf dem 35C3 habe ich mit Thorsten Schröder einen rückblickend leicht prophetischen Vortrag mit dem Titel “Du kannst alles hacken, du darfst dich nur nicht erwischen lassen!” gehalten. Im Vortrag erklären wir klassische Fehler, über die sich kriminelle Hacker allzu häufig verraten. Der Vortrag dient der Einführung und Unterhaltung – wichtig ist das Fazit am Ende des Vortrags: “Lasst es besser sein!” Eine Lektüre der Hacker-Ethik sei allen ans Herz gelegt, die dauerhaft Spaß am Gerät haben wollen.

auch auf Youtube:

Der Vollständigkeit halber sei aber noch kurz erklärt, welche Lektionen heranwachsende Kriminelle beherzigen sollten:

  1. Du willst niemandem vertrauen müssen. Gib niemandem die Möglichkeit, dich zu verraten oder zu erpressen.
  2. Schon gar nicht Menschen die genau so ein übertriebenes Geltungsbedürfnis haben wie du.
  3. Dein übertriebenes Geltungsbedürfnis erkennst du daran, dass du überhaupt ein Pseudonym pflegst, Menschen beeindrucken oder dir einen Ruf erarbeiten willst: Du kannst entweder ein erfolgreicher Krimineller sein oder ein berühmter.
  4. Verrate nichts über dich, deine Interessen, Ansichten, Motivationen, Vorgehensweisen, Sprache, Rcehtschreibung, Aufenthaltsorte, IP-Adressen, Telefonnummern, Bildung oder ähnliches. Nichts.
  5. Verstehe den Unterschied zwischen pseudonym und anonym, zwischen Inhalte-Verschlüsselung und Metadaten.