Security

User-Accounts als Grundlage der Vernetzung

Von Hitzestau - 20.10.2015

Teil einer Serie

Inhaltsverzeichnis

Ich fahre gerne Autorennen auf meiner Xbox One. Deshalb habe ich mir bei meinem bevorzugten Online-Shop das neue Forza 6 bestellt. Dort habe ich schon lange ein Kundenkonto, alle Daten sind hinterlegt. So muss ich nur mein neues Spiel in den Warenkorb legen und "bestellen" klicken, die Zahlung erledige ich via PayPal, wo meine Kreditkarte hinterlegt ist. Dank den Tracking-Informationen von der Post weiss ich, dass das Paket am nächsten Tag eintreffen wird. Dann muss ich nur noch die Xbox One starten, meinen Gamer-Tag auswählen, das Spiel installieren und schon kann ich mein erstes Rennen starten. Meine Freunde auf Xbox Live werden über meine Rundenzeiten nur staunen...

Ein ganz alltäglicher Vorgang. Um diesen so reibungslos möglich zu machen, wird im Hintergrund laufend auf meine persönlichen Daten zugegriffen, die ich in Form eines Kundenkontos oder meines Microsoft-Accounts hinterlegt habe.

Dabei ist dies nur ein ganz einfaches Beispiel. Ohne sich anzumelden oder einen User-Account einzurichten lässt sich heute kaum mehr ein Schritt in der digitalen Welt tun.

Von: wk1003mike
Quelle: Shutterstock

Das gilt für die Nutzung von reinen Dienstleistungen wie auch für die Benutzung von Geräten, da diese immer stärker mit Services vernetzt sind, welche wiederum einen User-Account voraussetzen. Aus Security-Sicht ist das natürlich nicht unproblematisch. Weil an immer mehr Orten und bei immer mehr Dienstleistern meine persönliche Daten gespeichert sind, erhöht sich auch meine potentielle Verwundbarkeit, wenn meine Daten in die falschen Hände geraten. Zudem hinterlasse ich laufend Spuren ohne dass ich es mir bewusst bin oder meine Einwilligung gegeben habe. Dazu zählen, Cookies, Verbindungs- und andere so genannte Metadaten.

Ohne Anmeldung geht nichts

Grundlegende Informationen

Ohne Anmeldung oder Einrichtung von User-Account geht heute kaum etwas. Sozusagen zur absoluten Grundausstattung in der Online-Welt gehört ein E-Mail Account. Eine E-Mail Adresse ist eigentlich immer die Voraussetzung, um sich irgendwo anzumelden, zudem dient sie oft auch zur Verifikation. Die zentrale Authentifizierungsrolle macht den Mail-Account aber auch anfällig für Kompromitierung.

Das reicht vom Online-Shopping bis hin zum Einrichten des Smartphones oder einer Spielkonsole. Die geforderten Angaben umfassen meistens Name, Adresse, E-Mail Adresse oder auch das Geburtsdatum. Je nachdem werden auch Informationen zur Zahlungsverbindung benötigt, dass kann ein PayPal-Konto sein oder die Hinterlegung einer Kreditkarte. Beim E-Banking muss man zwar keine Zahlungsverbindung angeben, der Login führt jedoch sozusagen direkt aufs Portemonnaie. Demensprechend gross ist hier die Angst vor so genannten Phishing-Attacken. Hierbei wird versucht mittels gefälschter Webseiten oder E-Mails an persönliche Login-Daten zu gelangen. Typisch ist dabei die Nachahmung des Internetauftritts einer vertrauenswürdigen Stelle, etwa der Internetseite einer Bank. Der Benutzer wird dann auf einer solchen gefälschten Seite dazu aufgefordert, in ein Formular die Login-Daten für sein Onlinebanking einzugeben. Dieses Vorgehen ist unter dem Begriff Phishing (Wikipedia) bekannt. Ein Blick auf die Adresszeile im Browser verrät aber meistens eine solche gefälschte Seite.

Login zum Online-Banking auf ubs.com. Quelle: UBS

Meldungen über gehackte Portale, Netzwerke oder Dienstleistungs-Anbieter schrecken immer viele Leute auf. Besonders wenn im grösseren Umfang User- oder Kundendaten gestohlen worden sind. Das kann von Namen, Mitgliedernummern, Kreditkarten- und Bank-informationen bis hin zu Passwörtern gehen. Besonders kritisch ist es dann, wenn diese nicht verschlüsselt sondern im Klartext abgelegt wurden. Wobei das eigentlich immer erst im Nachhinein bekannt wird.

Privates wird öffentlich

Es gibt aber auch andere Arten von persönlichen und sensiblen Informationen, die nicht für die Öffentlichkeit bestimmt sind: Ehemalige wie bestehende Kunden der Plattform "Adult Friend Finder" müssen damit klar kommen, dass ihre dort eingetragenen sexuellen Vorlieben von Hackern veröffentlicht wurden, wie golem.de beschrieben hat. Wie sehr ein digitaler Diebstahl auch Auswirkungen ins reale Leben hat, zeigt aktuell der "Ashley Madison Hack". Hier ist die kriminelle Energie der Hacker sehr gross, ihre Taten schlagen hohe Wellen ins reale Leben von vielen Menschen: Die Hacker haben bei dem Fremdgehportal nicht einfach nur Kundendaten gestohlen, sondern diese auch veröffentlicht. Personen wurden gezielt erpresst, wenn sie die Veröffentlichung ihres Namens verhindern wollten. Nach Medienberichten soll es sogar zu Selbstmorden gekommen sein.

Frontseite von Adult FriendFinder. Quelle: adultfriendfinder.com

Man könnte es sich einfach machen und sagen "dann melde dich nicht an, was haben deine sexuellen Präferenzen im Internet verloren? – Selber schuld!" Natürlich ist es immer eine Frage des Charakters und der Moral, wo man sich anmeldet und Mitglied wird. Aber grundsätzlich ist es so, wenn man einen Service nutzen möchte, muss man sich anmelden. Sich mit Gleichgesinnten zu vernetzen und auszutauschen , ist einer wichtigsten Motivationen für viele Menschen, überhaupt im Internet aktiv zu sein.

Das gilt auch für die grossen Social Media-Plattformen wie Facebook, Twitter und Instagram oder Kommunikationsdienste wie WhatsApp und Skype. Hier will man sich ja mit anderen vernetzen oder direkt austauschen. Als User ist man bei Plattformen wie Facebook gefordert sich gut zu überlegen, wie viel man von sich persönlich Preis geben will und für welchen Personenkreis man seine Posts und Bilder sichtbar macht. Hier spielen auch Fragen der Privatsphäre und des Datenschutzes mit hinein.

Wer ist verantwortlich?

Bei einem Datendiebstahl ist die Besorgnis der Kunden ist auf jeden Fall immer gross. Mit persönlichen Daten lässt sich mit krimineller Energie viel Missbrauch betreiben. Auch das Thema Identitätsdiebstahl gehört hier dazu. Und auf Häme in Online-Kommentaren und Foren muss man sich immer gefasst macht, unabhängig davon ob sich um eine Dating-Plattform oder den Appstore von Apple handelt. Aber auch der Ruf des Anbieters oder Betreibers leidet, da seine Kunden das Vertrauen verlieren. Je nachdem muss er auch mit juristischen Problemen rechnen.

Als Kunde oder User ist man solchen Ereignissen relativ hilflos ausgeliefert, da für die sichere Verwahrung der Daten die Verantwortung beim Anbieter liegt. Als einzelner Kunde hat man die Verantwortung für den eigenen Account ein sicheres Passwort zu setzen. Eine Software wie 1Password zur Verwaltung und Generierung von Passwörtern kann dabei gute Dienste leisten. Zudem sollte man darauf achten, immer eine aktuelle E-Mailadresse zu verwenden, auf die man auch Zugriff hat. Passwörter sollte man in regelmässigen Zeitabständen erneuern. Hier wäre es sicher nicht verkehrt, wenn die Anbieter ihre Kunden dazu anhalten würden und darauf achten, unbenutzte Accounts – sogenannte Account- oder Datenleichen – zu bereinigen. Im Extremfall ist der Benutzer verstorben und sein Account wird nicht mehr benötigt.

Von: solarseven
Quelle: Shutterstock

Das nützt aber alles nichts, wenn die Infrastruktur des Anbieters als Ganzes angegriffen wird. Da heute die Nutzung von Diensten eigentlich immer an die Erstellung von Accounts beim Anbieter geknüpft ist, kommt man mit einer "Verweigerungshaltung" auch nicht mehr sehr weit. Das gilt erst recht, wenn die Nutzung von Geräten an die Einrichtung von Accounts geknüpft ist. Darauf gehen wir im Folgenden näher ein.

Kopplung an Geräte-Nutzung

Den Zwang zur Erstellung von Accounts gibt aber nicht nur bei Online-Dienstleistungen. Gewisse Geräte-Kategorien kann man ohne Account so gut wie gar nicht benutzen. Als Beispiele sind Spielkonsolen oder Mobilgeräte wie Tablets und Smartphones zu nennen. Kein Smartphone lässt sich vernünftig ohne Google-, Apple- oder Microsoft-Konto verwenden. Je nach Modell kommen sogar noch Hersteller-spezifische Accounts hinzu. Bei den Spielkonsolen ist es genauso: Ohne Mitgliedschaft bei Xbox Live oder dem PlayStation Network kann die Konsole gar nicht in Betrieb genommen werden. Der Account wird beim Setup der Konsole verlangt oder neu angelegt.

Quelle: Shutterstock

Wenn Anbieter für in Anspruch nehmen, Services und Accounts miteinander zu verknüpfen, tragen Sie auch die Verantwortung für die Sicherheit der bei ihnen gespeicherten Daten. Der spektakuläre Hack des Playstation Networks dürfte vielen noch in Erinnerung sein. Damals wurden bei Sony die Kundendaten von Millionen von Nutzern gestohlen. Dem Konzern blieb nichts anderes übrig, als das gesamte Netzwerk vorübergehend abzuschalten, und das über mehrere Wochen während der Weihnachtszeit, wie Spiegel Online berichtet hatte.

Eigentlich nichts Neues

Aber eigentlich ist das Erfassen von Kundendaten schon ein alter Hut. Wer beispielsweise eine Zeitung abonniert, muss seine Adresse für die tägliche Zustellung und die Rechnungsstellung dem Verlag angeben. Natürlich könnte man sie auch sozusagen "anonym" täglich am Kiosk kaufen, nur ist es dann verglichen mit dem Abo-Preis viel teurer. Auch ein Brot kann man im Lebensmittelladen noch kaufen, ohne Datenspuren zu hinterlassen, vorausgesetzt man bezahlt mit Bargeld. Aber schnell wird dann noch die Kundenkarte eingescannt – und schon war es das mit dem "anonymen" Einkaufen. Wobei man auch nicht vergessen darf, dass sich das Personal mit der Zeit an einen erinnert, dann ist es mit Anonymität auch vorbei.

Beim Kauf eines Autos beispielsweise ist die Angabe von Name und Adresse selbstverständlich, schliesslich geht man mit dem Händler eine längerfristige Kundenbeziehung ein. Und man will auch von späteren Leistungen wie Service oder Pannenhilfe profitieren. Zudem kann es sein, dass man vom Händler wegen einer Rückrufaktion kontaktiert werden muss. Auch Versicherungen sind ein klassisches Beispiel: Für den Abschluss einer Police muss man je nach Art der Versicherung viele persönliche Daten preisgeben.

Das Beispiel mit dem Kauf von konkreten Waren lässt sich problemlos in die digitale Welt übertragen. Wer bei Amazon etwas kaufen will, muss dafür einen Account anlegen. Dass akzeptiert man auch ohne Probleme, denn woher soll Amazon sonst wissen, wohin sie die Waren schicken sollen und wie die Zahlung abgewickelt wird?

Gefüllter Warenkorb bei Amazon. Quelle: amazon.de

Vielfältige Spuren

Unser digitales Leben hinterlässt aber nicht nur Spuren in Form von Accounts. Im Hintergrund – also meist ohne dass wir es direkt bemerken – werden Cookies auf unserem Computer abgelegt und Metadaten gespeichert. Es gibt verschiedene Formen von Cookies, sie werden beim Aufrufen von Webseiten auf dem Computer abgelegt. So entsteht eine Spur von "Brotkrummen", die beispielsweise von Werbenetzwerken rückverfolgt und ausgewertet wird. Cookies gibt es seit 1994, sie haben einen schlechten Ruf, weil sie als "Spione" auf dem eigenen Computer angesehen werden. Die Europäische Union hat strenge Richtlinien für die Verwendung von Cookies und die Auswertung der mit ihnen gesammelten Daten erlassen. Diese sind dafür verantwortlich, dass man auf vielen Webseiten, die man ansurft, sich mit dem Setzen von Cookies einverstanden erklären muss. Wobei auch dieser Klick – abgesehen davon dass er sehr nervig ist – ein Cookie auf dem PC ablegt, damit man beim nächsten Besuch der Seite die Frage nicht noch einmal angezeigt bekommt. Hier das Beispiel vom PlayStation Network:

Quelle: playstation.com

Ausblick

Wenn man sich näher mit Security beschäftigt, tun sich immer neue Themen auf. So werden wir unter anderem auf die hier nur angeschnittenen Fragestellungen rund um Cookies, Identitätsdiebtahl oder Social Engineering zurückkommen. Im nächsten Artikel geht es unter dem Stichwort Cloud weiter mit dem Thema Vernetzung.