Update 13.09.2014
Nachdem nun auch Google-Kontodaten veröffentlicht wurden, Ergänzung der entsprechenden Landing-Page bei Google in der Linkliste.
Und um das noch an den Anfang zu stellen: Das Thema betrifft nicht nur Apple-User, sondern jeden Nutzer von Online-Services seien sie von Apple, Google, Microsoft, Facebook oder anderen mit Namen wie Dropbox, iCloud, OneDrive, Office 365, etc.
—
Wie der gerade wieder kolportierte “Hack” von Apples iCloud zeigt ist der Zugriffsschutz auf online gespeicherte Daten wichtig. Auch wenn zum aktuellen Vorgang noch keine weiteren Details bekannt sind, so bleibt die sehr große Vermutung, dass es sich nicht um einen echten Hack in Apples Systeme handelt, sondern eher einen Zugang zu den Nutzerdaten mit Hilfe der Kontoinformationen. Dabei scheinen auch Daten abhanden gekommen zu sein, die als gelöscht geglaubt waren, wohl aber in einem wie auch immer gearteten Backup verblieben. Sie dazu auch das Statement von Schauspielerin Mary Elizabeth Winstead, die ebenfalls Opfer des mutmaßlichen Hackerangriffs wurde:
“Ich habe die Fotos vor langer Zeit gelöscht. Das muss ein unheimlicher Aufwand gewesen sein.”
Siehe auch folgende Quellen:
- Nacktbilder von Promis im Netz angeblich durch Angriffe auf iCloud: http://heise.de/-2305313
- Jennifer Lawrence and Other Celebs Hacked as Nude Photos Circulate on the Web: http://mashable.com/2014/08/31/celebrity-nude-photo-hack/
Sicher?
So groß war der Aufwand vermutlich nicht. Nur weil man Daten auf einem Gerät löscht sind sie im Backup noch lange nicht verschwunden. Wenn man dann noch den Zugang zu seinem Online-Konto verliert, sei es durch ein zu leichtes Passwort, welches evtl. auch noch auf mehreren Seiten verwendet wurde, durch zu einfach erratbare Passwortfragen, über die man an das Passwort kommen kann oder einfach nur über eine App, der man zu viele Berechtigungen gegeben hat, ist es leicht um die Daten geschehen. Da helfen einem auch die Sicherheitszusagen der Anbieter wie Verschlüsselung der Daten auf den Servern nichts. Hat man die Zugangsdaten liegen einem die Daten offen, selbst wenn sie auf dem Server und auf dem Weg dahin noch verschlüsselt waren. Der Anwender möchte ja seine Nutzdaten abrufen, nicht irgendwelchen Kauderwelsch. Apple wies in dem Fall auch darauf hin, dass sie von keiner Sicherheitslücke wissen, über die die Angreifer Zugriff erlangt hätten.
- Apple zum Promi-Nacktfoto-Klau: Angriffe auf iCloud-Konten, aber keine Sicherheitslücke: http://heise.de/-2311747
Den Schlüssel besitzen
Wie kann man sein Benutzerkonto also besser schützen? Die großen Onlinedienste bieten hierzu schon seit längerer Zeit Lösungen, die im Grundsatz gleich sind. In vielen Firmen und Organisationen ist dieser Zusatzschutz beim Zugriff auf kritische Daten oder von unsicheren Quellen schon seit vielen Jahren Standard. Er basiert darauf, dass man für eine Authentifizierung nicht nur etwas wissen, sondern auch etwas besitzen muss. Kommt das Passwort also abhanden fehlt immer noch der Besitz dieser Eintrittskarte, die wir ab jetzt Token nennen wollen. Das Zusammenspiel auf Passwort nennt man Mehr-Faktor-Authentifizierung.