Der Schnipsel-Sammeldienst Evernote räumt in einer Notiz an seine Mitarbeiter eine Sicherheitslücke ein. Die Angreifer erbeuteten offenbar auch Kontodaten von Nutzern. Das Unternehmen hat daraufhin seine Kunden informiert und deren Passwörter zurückgesetzt. Evernote reagiert damit zwar offener und beherzter als andere gehackte Unternehmen zuvor, der Vertrauensverlust ist trotzdem groß. Vor allem kratzt der neue Angriff mal wieder stark am Image der aktuell so sehr gehypten Cloud-Dienste. Zeit auch, sich wegen der eigenen Passwörter mal wieder selbst an die Nase zu fassen.
„Nur“ Nutzerdaten betroffen
Am Sonntag funktionierte plötzlich mein Evernote Web Clipper nicht mehr, mein Passwort wurde nicht mehr akzeptiert. Auch nicht auf der Evernote-Seite selbst. Nur zurücksetzen und neueingeben half. Eigentlich recht verdächtig also. Stunden später klärte Evernote in einer Mail dann aber auf: Angreifer konnten sich Zugang zu Nutzerdaten verschaffen. Namen, E-Mail-Adressen und Passwörter sind betroffen, letztere jedoch verschlüsselt (hashed and salted).
Die gute Nachricht: Laut Evernote ist der Inhalt einzelner Profile nicht betroffen, ebenso die Zahlungsinformationen der Premiumkunden. Als Empfehlung wird den Nutzern geraten, gute und individuelle Passwörter zu verwenden. Nach Darstellung des Unternehmens ist das Resetten der Passwörter also eine reine Vorsichtsmaßnahme. Ganz so schlimm wie die gewohnt-reißerische „Bild“-Schlagzeile vermuten lässt, ist es dann also doch nicht.
Evernote-Hack: …wurde auch Zeit
Und dennoch gewinnt man zunehmend den Eindruck, dass alle bekannten Dienste und Unternehmen schon einmal gehackt worden sind: Dropbox, Sony, Microsoft, Google, Apple – alle sind betroffen. Je größer ein Dienst, desto interessanter ein Angriff könnte man meinen. Alleine im letzten Jahr wurden zahlreiche Hacks bekannt. Eine Chronologie hat visually in einer schönen Infografik verarbeitet.
Es ist zudem davon auszugehen, dass viele weitere Angriffe bis heute nicht bekannt geworden sind. Denn nicht überall ist die Gesetzeslage eindeutig, wann ein Unternehmen einen „security breach“ öffentlich machen muss. Selbst die EU hat sich dem Problem nun angenommen und will Unternehmen verpflichten, Sicherheitslecks zu melden. Dabei ist die Cloud doch die vermeintliche Zukunft. Durch die verschiedenen Schlagzeilen gerät sie aber in Verruf – nicht unbedingt zu Unrecht. Das Fraunhofer Institut beispielsweise untersuchte im letzten Jahr verschiedene Cloud-Speicherdienste und war von keinem Anbieter rundum begeistert.
Sicherheit vs. Faulheit
Die Schuld liegt natürlich nicht alleine bei den Anbietern. Der Ratschlag von Evernote, gute Passwörter zu verwenden ist ja nicht aus der Luft gegriffen. Wirkliche Datensicherheit scheitert nach Erfahrungen aus meinem „repräsentativen“ Umfeld nämlich meist schon an der eigenen Faulheit: schlechte Passwörter (oder sogar nur ein einziges Passwort) verwendet auf unterschiedlichen Plattformen. Dabei sind die Tricks ja gemeinhin bekannt: keine Begriffe aus dem Lexikon (dazu zählen auch als Buchstaben verwendete Zahlen, z.B. n00b).
Lieber Kombinationen aus Großbuchstaben, Sonderzeichen und Zahlen, je länger desto besser. Eigentlich weiß also jeder wie es geht – aber ja, es lässt sich halt schlecht merken. Als Eselsbrücke kann es helfen, aus einem beliebigen Satz die Anfangsbuchstaben der Wörter zu nehmen und daraus ein Passwort zu stricken. Ein wenig Kreativität lohnt sich. Denn was passieren kann, wenn man zu bequem wird, zeigt der inzwischen fast legendäre Fall eines Wired-Redakteurs, dessen digitales Leben geklaut wurde.
