Hinweis
des Verlages zur Hackerliste "Collection #1"
Nach
einem Bericht der Süddeutschen Zeitung sind Millionen von
eMail-Adressen und Passwörter im Netz aufgetaucht -
unverschlüsselt, für jeden lesbar. Dass diese Informationen
nicht verkauft wurden, läßt Schlüsse zu (s.u.) Der
IT-Sicherheitsforscher "Troy Hunt" stieß während
seiner Recherchen in einem Hackerforum auf dieses Datenleck. Woher
die Daten genau stammen, ist unbekannt. Hunt zufolge gibt es eine
Koppelung von Websites, eMails und Passwörtern. Offenbar wurden
verschiedene ältere und neuere Leaks zusammengefasst. Die
Süddeutsche schreibt weiter, Hunt habe die Sammlung um Duplikate
und unsaubere Datensätze bereinigt, danach seien noch etwa
770 Millionen eMail-Adressen übrig gewesen, dazu 22 Mio.
Passwörter. Der Unterschied zwischen den beiden Zahlen erklärt
sich dadurch, dass viele Nutzer - anders als empfohlen - dasselbe
Passwort für mehr als eine Seite verwenden. Außerdem
können verschiedene Nutzer zufällig identische Passwörter
verwenden, was insbesondere simple Passwörter wie "123456"
betrifft. Eine erste Prüfung der betroffenen Webseiten durch die
SZ zeigt, dass überwiegend Domains mit der internationalen
Endung ".com" betroffen sind. Erwähnt sind 132
deutsche Domains, darunter etwa "mannheim.fruehstueckstreff.de",
"netzwerk-psychoanalyse.de", "primus-versand.de"
und "strickideen.de". Auf Hunts Webseite haveibeenpwned.com
werden User eingeladen generell zu prüfen, ob sie von dem
aktuellen Leak oder noch älteren betroffen sind. Dazu
müssen Nutzer in das Suchfeld eine eM-Adresse eingeben, die sie
für Log-ins verwenden. Es mag auch andere solche Angebote geben.
Allerdings sind solche Angebote auch mit Vorsicht zu behandeln, denn
der entsprechende Anbieter gelangt so - wie auch bei
Online-Petitionen - in den Besitz einer existenten aktuellen
eMailadresse. Hunts Webseite prüft, ob die E-Mail-Adresse in
einem der Leaks aus den vergangenen Jahren aufgetaucht ist. Sie zeigt
lediglich an, in welchem Leak diese E-Mail-Adresse auftauchte, nicht
jedoch, ob ein Passwort bzw. welches benutzt wurde.
Es
ist richtig, dass auf der Liste auch "museum-aktuell.de" -
wie tausende anderer Webseiten weltweit - auftaucht (z.B. auch
Museen). Nach chip.de ist aber nicht klar, wie all diese Portale und
Webseiten auf diese Liste kommen: "Ob
alle Daten echt sind, ist unklar. Ebenso ist bislang nicht bekannt,
auf welchem Weg und von wem sie erbeutet wurden." Anders
ausgedrückt: Das
Auftauchen einer Domain, einer Mailadresse oder Passworts auf dieser
Hackerliste muss keineswegs automatisch bedeuten, dass die erwähnten
Websites wirklich gehackt worden sind. Denn die Kombination von
Domain, eMail und Passwort kann man sich zum einen von gekaperten
Privatuser-Rechnern holen, die in der Regel viel geringer geschützt
sind als mehrfach abgesicherte Server (z.B. aus selbst angelegten
viralen Adressbüchern, Passwordmanagern oder Excel-Tabellen).
Eine weitere Quelle sind geleakte Vorratsdatenspeicherungen von
Geheimdiensten, die u.a. den gesamten eMailverkehr abgreifen und nach
deren geheimdienstlicher Auswertung nicht gelöscht wurden.
In
unserer Datenschutzerklärung wird detailliert ausgeführt,
dass wir als Verlag natürlich zur Abwicklung von Bestellungen,
laufenden Abos, Zahl-diensten und kostenlosen Servicediensten wie
etwa dem Europäischen Museumsverzeichnis Tausende von Daten
sicher speichern müssen. Dies geschieht auf externen,
professionell abgesicherten Dienstleistungsservern. So sind z.B. mehr
als 28.000 europäische Museen mit Zugangsdaten zur Datenpflege
abgespeichert. Auch unsere Verlagsrechner sind auf verschiedenen
Ebenen gegen Zugriffe von außen abgesichert. Gespeichert sind
Zugangsdaten von Institutionen und wenigen Privatleuten. Solange wir
den europaweit besten Service für Stellenhinweise im
Musealsektor angeboten hatten, der, notabene, im Herbst 2018 aus
mehreren Gründen beendet wurde, wurden (damals) auch Daten von
Benutzern des Dienstes (keineswegs nur Stellensuchende) gespeichert.
Diese Zugangsdaten Privater sind unsererseits gelöscht.
Chip.de
hat eruiert, dass sämtliche erwähnten Passwörter von
"Collection #1" weltweit aus den Jahren 2008-2015
stammen. Es handelt sich also nicht um einen aktuellen
Passwortklau. Viele User haben die seinerzeit verwendeten
eMailadressen längst nicht mehr und haben ihre Passwörter
ausgetauscht. Die vorsichtigen unter unseren Privatnutzern haben
speziell für unsere Serrviceleistungen Passwörter
konstruiert, die sie nicht anderweitig nutzen. Mit solchen speziellen
Passwörtern kann man also kaum etwas anfangen. Die meisten bei
uns gelisteten eMailadressen sind ohnehin offizielle, überall im
Netz ausgewiesene, institutionelle eMailadressen, deren
Veröffentlichung in einer Hackerliste lediglich eine unsinnige
Verdopplung darstellt.
Natürlich
wird auch unser Verlag, der im Internet eine der größten
Informationsangebote im Kulturbereich anbietet, laufend in
böswilliger Absicht von Hackern und Robots attackiert. Natürlich
wird unser Sicherheitskonzept durch unsere Provider laufend
kontrolliert und verfeinert. Dass auch nur in einem einzigen Fall
Hackern der Zugriff auf relevante Daten unserer Kunden, also nach
Überwindung mehrfacher professioneller Sicherheitsschranken,
gelungen sei, wurde weder von unseren Providern noch in der
Presse berichtet. Wenngleich wir von keinem erfolgreichen
Hackerangriff wissen, kann er, wie überall im Netz, für die
Zukunft aber auch nie mit letzter Sicherheit ausgeschlossen werden.
Einen solchen Ausschluss kann ernsthaft niemand garantieren, genauso,
wie sich niemand vor Terrorismus völlig schützen kann.
Zur
Datensicherheit gehört aber auch die kritische und vorsichtige
Mitwirkung der Nutzer. Wir beraten jedes Museum, wie sie ihre Daten
bei uns optimal vor Zugriffen schützen können;
Privatnutzern bieten wir seit geraumer Zeit zudem eine Beurteilung
der eingegeben Passwortstärke an. Wie man die die Sicherheit
eigener Passwörtern selbst erhöhen kann, dafür gibt es
zahlreiche gute Ratschläge im Netz. Dazu gehört, dass man
dasselbe Passwort aus Bequemlichkeit nicht für zwei oder mehrere
Zwecke einsetzt.
Unser
Ziel ist es, unseren Nutzern ein erholsames und sicheres
Internetportal zu bieten.
München,
den 20.1.2019
Dr.
Christian Müller-Straten
Verlag Dr. C. Müller-Straten