Sicherheit

117 Mio. Passwörter aus LinkedIn-Hack: Warum Kommunikation nach einem Hack das A und O ist

Hack Hacker
geschrieben von Markus Werner

LinkedIn wurde 2012 Opfer eines Hackerangriffs, mit weitreichenden Folgen. Vier Jahre nach dem Vorfall sind vergangene Woche 117 Millionen Passwort-Hashes im Untergrund aufgetaucht. Welchen Schaden richten mangelnde Kommunikation und schlecht implementierte Krypto-Algorithmen an? Was kannst du als Nutzer in solchen Fällen tun? Wir verraten es dir.

Fast täglich werden Webseiten gehackt. Das ist nichts Ungewöhnliches, aber es gibt immer mal wieder ein paar besondere Einbrüche. Vor vier Jahren tauchten aus dem Nichts 6,5 Millionen verschlüsselte Passwörter des Business-Netzwerkes LinkedIn in einschlägigen Untergrund-Foren auf. Innerhalb kürzester Zeit wurden zahlreiche Kennwörter geknackt. LinkedIn hatte bei der Verschlüsselung der Passwörter ordentlich geschlampt.

In der Liste befanden sich keine Benutzernamen oder E-Mail-Adressen, wobei die Hacker wohl auch im Besitz dieser Daten waren. LinkedIn versäumte es, seine Kunden angemessen über den Vorfall zu informieren und spielte das Thema stattdessen herunter. Es war lediglich die Rede von wenigen betroffenen Zugängen und da hätte man entsprechend reagiert.

Zwei Wochen später reichte eine Nutzerin in den USA eine Sammelklage ein, der Vorwurf: „LinkedIn hat die Integrität von sensiblen Daten der Nutzer erheblichen Risiken ausgesetzt.“ Die miserable Sicherheitspolitik und mangelnde Kommunikationsbereitschaft von LinkedIn rächt sich jetzt, vier Jahre später. Seit vergangener Woche bietet der User „Peace“ im Untergrund für 5 Bitcoins (ca. 2.000 Euro) rund 117 Millionen LinkedIn-Passwörter zum Kauf an.

Mit sehr hoher Wahrscheinlichkeit stammen die Daten aus dem Hack von 2012. Innerhalb von zwei Stunden waren bereits zwei Drittel geknackt und derzeit dürften es schon mehr als 80 Prozent sein. Im Blog von KoreLogic Security wird sogar von 177.500.189 Passwort-Hashes berichtet. Also nochmal deutlich mehr als bislang bekannt. LinkedIn bestätigte inzwischen die Echtheit der Daten und kündigte Gegenmaßnahmen an.

LinkedIn patzte bei der Verschlüsselung und der Kommunikation

Also alles gut? Mitnichten! LinkedIn hat einige Fehler begangen, sowohl vor dem Hack als auch danach. Sie setzten bei der Verschlüsselung der User-Kennwörter auf den veralteten und unsicheren Krypto-Algorithmus SHA-1. Erste Schwächen wurden 2005 entdeckt und das NIST (National Institute of Standards and Technology) empfahl noch im selben Jahr einen Wechsel zur SHA-2-Familie. Demnach hätte LinkedIn 2012 auf keinen Fall auf SHA-1 setzen dürfen. Ein weiterer fahrlässiger Fehler war, dass sie die Kennwörter vor der Verschlüsselung nicht gesalzen haben.

Hierbei wird das Passwort mit einer zufälligen Zeichenfolge verschlüsselt. Die Rückentschlüsselung soll dadurch erschwert oder gar unmöglich gemacht werden. Im Grunde hätte LinkedIn sich die Verschlüsselung schenken können, denn 123456 wäre genauso sicher gewesen, wie T`Q!qPc9([~mGiwx<LBt-‚e5a;_r>{p%ChR4EA&dWs:J8. In diesem Fall ist der Anbieter eines Webservices in der Pflicht, eine sichere Verschlüsselung brisanter Daten zu gewährleisten.

Kommunikation ist das A und O

Als die Hacker 2012 die erste Liste veröffentlichten, war zunächst die Verwirrung groß. Waren die Daten echt und falls ja, wie wurden sie gestohlen? LinkedIn bestätigte zwar die Echtheit der entwendeten Kennwörter, versäumte es aber, seine Nutzer über den Einbruch zu informieren. Bis heute weiß keiner, was genau vor vier Jahren geschah.

  • Welche Daten wurden gestohlen?
  • Wie konnte der Hack gelingen?
  • Wie waren die Kennwörter verschlüsselt?
  • Wie viele Datensätze wurden erbeutet?
  • etc.

Genau diese Informationen sind für Nutzer nach so einem Vorfall extrem wichtig. So, wie LinkedIn kommunizierte, war kaum einem Nutzer so wirklich klar, was er nun tun sollte. Anscheinend wurden zumindest von den betroffenen 6,5 Millionen Accounts die Kennwörter zurückgesetzt. Doch das genügt eigentlich nicht. Denn es steht zu Recht die Frage im Raum: Welches Ausmaß hatte der Einbruch? Es wäre also klüger gewesen, von allen Nutzern die Passwörter zurückzusetzen. Es haben nur wenige Nutzer danach ihre Kennwörter geändert, wie LinkedIn selbst bestätigt. Außerdem verwenden viele für die verschiedensten Logins häufig dieselben Kennwörter und mitunter sogar auch noch unsichere.

Das Verhalten von LinkedIn ist bei weitem kein Einzelfall – Bei dem eBay-Hack vor zwei Jahren war es kein bisschen anders. Deshalb habe ich damals meinen Account „gelöscht“ und bekam vor wenigen Wochen eine nette Spam-E-Mail, samt trojanischem Anhang. Beide Einbrüche haben selbst Jahre nach den eigentlichen Zwischenfällen weitreichende Folgen.

eBay-Kunden müssen damit rechnen, dass ihre persönlichen Daten missbraucht werden und sie vermehrt bösartigen E-Mail-Spam erhalten könnten. LinkedIn-User müssen hingegen damit rechnen, dass ihre Accounts potentiell gefährdet sein könnten. Also schnell Kennwörter ändern.

Positivbeispiele Buffer und Bitly

Es gibt aber auch positive Beispiele. Fakt ist, jeder Hack tut weh. Doch die Kunst ist es, in solchen Fällen mit seinen Nutzern klar zu kommunizieren und rasch zu handeln. Der Short-Link-Dienst Bitly wurde 2014 Opfer eines Hackerangriffs. Die Eindringlinge stahlen E-Mail-Adressen, verschlüsselte Passwörter, API-Keys und OAuth Tokens. Bitly reagierte schnell und vorbildlich. Sie trennten vorsorglich alle Accounts von verbundenen sozialen Netzwerken und setzten die Kennwörter aller Nutzer zurück. Zusätzlich sollten die User neue API-Keys generieren und konnten sich wieder mit den sozialen Netzwerken koppeln. Die Aktion konnte größere Schäden vermeiden und Bitly stellte zugleich wieder eine Vertrauensbasis her.

Auch der Social-Media-Planungsdienst Buffer wurde 2013 gehackt. Den Angreifern gelang es den Dienst für eine Twitter- und Facebook-Spamwelle zu missbrauchen. Über einen von Buffer eingesetzten Datenbankanbieter ergaunerten die Eindringlinge die Access-Tokens, welche für das Publizieren auf autorisierten Facebook und Twitter-Profilen genutzt werden. Buffer hatte es versäumt, diese Tokens zu verschlüsseln. Innerhalb einer Stunde hatte das Buffer-Team die notwendigen Schritte unternommen, um die Spamattacke in den Griff zu bekommen.

Zugleich wurde die Community vollumfänglich über den Vorfall informiert. Alleine auf Twitter beantwortet das Team rund 6.000 Tweets, die den Hack betrafen. Die Buffer-Community reagierte trotz allem Ärger positiv. Es kam aber noch viel krasser, zwei Tage nach dem Hack verzeichnete Buffer satte 3.000 Neuregistrierungen. Hier kann man wirklich zu Recht davon sprechen, dass Buffer den Super-GAU in ein wahres Happy End verwandelt hat. So kann es eben auch gehen.

So schützt du dich vor solchen Hackerangriffen

Du kannst alleine schon durch ein paar kleine Grundregeln eine ganze Menge zur Sicherheit deines Accounts beitragen. Damit möchte ich allerdings nicht andeuten, dass der Nutzer mehr in der Pflicht sei als der Anbieter. Nein, der Anbieter muss in jedem Fall sichere Voraussetzungen schaffen und erst dann bist du an der Reihe.

  • Verwende für jeden Login ein eigenes Kennwort
  • Deine Kennwörter sollten mindestens 8-12 Zeichen lang sein und sowohl Kleinbuchstaben, Großbuchstaben, Zahlen und Sonderzeichen enthalten
  • Umso wichtiger der Dienst, desto öfter solltest du deine Kennwörter in regelmäßigen Abständen ändern
  • Dein Kennwort sollte keine zusammenhängenden Wörter, Geburtsdaten oder personalisierte Informationen beinhalten
  • Bewahre deine Logindaten an einem sicheren Ort auf, z.B.: im Kopf oder einem Passwortsafe

Wenn du diese simplen Tipps befolgst, lebst du schon ein bisschen sicherer und brauchst beim nächsten Hackerangriff weniger Angst vor ernsthaftem Schaden haben. Trotzdem solltest du das nicht auf die leichte Schulter nehmen, weil oftmals neben Zugangsdaten auch Adressdaten, Kontodaten oder weitere persönliche Informationen gestohlen werden könnten. Hier bist du leider auf den Seitenbetreiber angewiesen.

→ Weitere Tipps für die Sicherheit deiner Online-Profile.


Vernetze dich mit uns!

Like uns auf Facebook oder folge uns bei Twitter


Über den Autor

Markus Werner

Markus Werner (reraiseace) ist angehender Journalist und Fernstudent am Deutschen Journalistenkolleg. Er schreibt regelmäßig für SCREENGUIDE, BASIC thinking und seinen eigenen Blog reraise.eu über Android, IT Security, Netzpolitik und Webdesign.

2 Kommentare

  • Warum sollten die Passwörter nur maximal 12 Zeichen lang sein? Siehe auch xkcd: https://xkcd.com/936/

    Auch das mit den Sonderzeichen ist im Prinzip Blödsinn, da die Komplexität ja nicht von den verwendeten Zeichen abhängt, sondern was der Angreifer für einen Zeichenvorrat erwartet.

    • Die 12 Zeichen sollten nur ein Richtwert sein, ich hab mal das „zwischen“ gegen ein „mindestens“ getauscht. Das war etwas missverständlich, sorry. Danke für deinen Hinweis.

      Also das Passwort sollte nicht maximal 12 Zeichen lang sein, sondern mindestens 8-12 Zeichen beinhalten. Was die Sonderzeichen angeht, die Mischung machts 😉

Kommentieren