Sonstiges

Evernote gehackt – Wer vertraut der Cloud?

Evernote
geschrieben von Felix

Der Schnipsel-Sammeldienst Evernote räumt in einer Notiz an seine Mitarbeiter eine Sicherheitslücke ein. Die Angreifer erbeuteten offenbar auch Kontodaten von Nutzern. Das Unternehmen hat daraufhin seine Kunden informiert und deren Passwörter zurückgesetzt. Evernote reagiert damit zwar offener und beherzter als andere gehackte Unternehmen zuvor, der Vertrauensverlust ist trotzdem groß. Vor allem kratzt der neue Angriff mal wieder stark am Image der aktuell so sehr gehypten Cloud-Dienste. Zeit auch, sich wegen der eigenen Passwörter mal wieder selbst an die Nase zu fassen.

Evernote

„Nur“ Nutzerdaten betroffen

Am Sonntag funktionierte plötzlich mein Evernote Web Clipper nicht mehr, mein Passwort wurde nicht mehr akzeptiert. Auch nicht auf der Evernote-Seite selbst. Nur zurücksetzen und neueingeben half. Eigentlich recht verdächtig also. Stunden später klärte Evernote in einer Mail dann aber auf: Angreifer konnten sich Zugang zu Nutzerdaten verschaffen. Namen, E-Mail-Adressen und Passwörter sind betroffen, letztere jedoch verschlüsselt (hashed and salted).

Die gute Nachricht: Laut Evernote ist der Inhalt einzelner Profile nicht betroffen, ebenso die Zahlungsinformationen der Premiumkunden. Als Empfehlung wird den Nutzern geraten, gute und individuelle Passwörter zu verwenden. Nach Darstellung des Unternehmens ist das Resetten der Passwörter also eine reine Vorsichtsmaßnahme. Ganz so schlimm wie die gewohnt-reißerische „Bild“-Schlagzeile vermuten lässt, ist es dann also doch nicht.

 Unbenannt

Evernote-Hack: …wurde auch Zeit

Und dennoch gewinnt man zunehmend den Eindruck, dass alle bekannten Dienste und Unternehmen schon einmal gehackt worden sind: Dropbox, Sony, Microsoft, Google, Apple – alle sind betroffen. Je größer ein Dienst, desto interessanter ein Angriff könnte man meinen. Alleine im letzten Jahr wurden zahlreiche Hacks bekannt. Eine Chronologie hat visually in einer schönen Infografik verarbeitet.

Security Breaches

 

Es ist zudem davon auszugehen, dass viele weitere Angriffe bis heute nicht bekannt geworden sind. Denn nicht überall ist die Gesetzeslage eindeutig, wann ein Unternehmen einen „security breach“ öffentlich machen muss. Selbst die EU hat sich dem Problem nun angenommen und will Unternehmen verpflichten, Sicherheitslecks zu melden. Dabei ist die Cloud doch die vermeintliche Zukunft. Durch die verschiedenen Schlagzeilen gerät sie aber in Verruf – nicht unbedingt zu Unrecht. Das Fraunhofer Institut beispielsweise untersuchte im letzten Jahr verschiedene Cloud-Speicherdienste und war von keinem Anbieter rundum begeistert.

Sicherheit vs. Faulheit

Die Schuld liegt natürlich nicht alleine bei den Anbietern. Der Ratschlag von Evernote, gute Passwörter zu verwenden ist ja nicht aus der Luft gegriffen. Wirkliche Datensicherheit scheitert nach Erfahrungen aus meinem „repräsentativen“ Umfeld nämlich meist schon an der eigenen Faulheit: schlechte Passwörter (oder sogar nur ein einziges Passwort) verwendet auf unterschiedlichen Plattformen. Dabei sind die Tricks ja gemeinhin bekannt: keine Begriffe aus dem Lexikon (dazu zählen auch als Buchstaben verwendete Zahlen, z.B. n00b).

Lieber Kombinationen aus Großbuchstaben, Sonderzeichen und Zahlen, je länger desto besser. Eigentlich weiß also jeder wie es geht – aber ja, es lässt sich halt schlecht merken. Als Eselsbrücke kann es helfen, aus einem beliebigen Satz die Anfangsbuchstaben der Wörter zu nehmen und daraus ein Passwort zu stricken. Ein wenig Kreativität lohnt sich. Denn was passieren kann, wenn man zu bequem wird, zeigt der inzwischen fast legendäre Fall eines Wired-Redakteurs, dessen digitales Leben geklaut wurde.


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Felix

Internetabhängiger der ersten Generation, begeistert sich für Netzpolitik, Medien, Wirtschaft und für alles, was er sonst so findet. Außerdem ist er ein notorisches Spielkind und hält seine Freunde in der „echten Welt“ für unverzichtbar.

5 Kommentare

  • Es ist einmal die Frage wie viel „Arbeit“ man sich mit einem Passwort macht, aber auch die nach der Notwendigkeit der Daten in der Cloud. Darauf habe ich Einfluss, im Gegensatz zu der Abwehr von Hackern. Da muss ich auf den Anbieter vertrauen. Ich denke das viele Dinge die man dort ablegt gar nicht dort gespeichert sein müssten. Welche Daten benötigt man wirklich in der Cloud? D.h. auf welche Daten brauche ich tatsächlich Zugriff von überall? Es gibt ganz sicher einige. Ich nutze Evernote und einige andere Cloud-Dienste auch recht umpfänglich mittlerweile, aber ich habe mir angewöhnt zu überlegen was Sinn macht und was sein muss. Und bei den meisten „Empfindlichen“-Daten komme ich zu dem Schluss, dass mir diese Lokal gespeichert vollkommen genügen. Das wiederum spart zumindest ein paar Nerven wenn man mal wieder von einem solchen Angriff liest.

  • in der grafik fehlt, dass man kein onlineshopping und banking machen draf und das internet weiter wie im letzten jahrhundert nutzen soll.

    risiko vs nutzen…

  • Ich greife einfach mal nur die Schlagzeile auf.

    Das ist das große Problem mit der Cloud. In den Staaten z.B. wird von Userseite nachlässiger mit solchen Themen umgegangen, aber in Deutschland ist das Vertrauen, seine Daten auf irgenwelchen Servern abzuspeichern, noch nicht im großen Umfang gegeben. Deshalb werden es auch Dienste wie Office-Web-Apps oder das Chromebook (BTW was ist mit Browserwahl ala MS? ;)) erstmal schwierig haben. Das kann ich auch meinen Vorpostern entnehmen. Ich selbst habe auch nur Zeugs ohne pers. Bezug in der Cloud.

  • Jedem sollte einfach klar sein, dass man keine wichtigen Daten, die keiner außer dem Besitzer selbst sehen soll, auf einer Cloud gespeichert werden sollten. Durch die ganze iCloud Geschichte etc, was das ganze ins Rollen gebracht hat ist das zwar nicht gerade einfach geworden allerdings ist es locker möglich. Nach Erstellung der Daten sollte man diese auf Offline Systeme / Datenspeicher übertragen und naschließend vom System mit Cloudfunktion entfernen.

    Alles anderen Daten von normalsterblichen Menschen sind den Hackern und der NSA im Grunde genommen eh nicht relevant.

Kommentieren