Sicherheitsmythen aufgedeckt
Welche Infos zur It-sicherheit noch aktuell sind und wie Sie sich vor neuen Gefahren schützen
Der ständige Wettlauf zwischen Sicherheitsforschern und It-kriminellen verändert die Sicherheitslage am PC und im Internet laufend. Was vor Kurzem noch als eindeutig sicher galt, ist heute schon nicht mehr aktuell. Mit den folgenden Tipps sind Sie dennoch geschützt.
Welche Infos zur It-sicherheit noch aktuell sind – und was hingegen zu den It-mythen gezählt werden muss, erfahren Sie hier.
Zwei-faktor-authentifizierung per SMS: Wie sicher ist das wirklich?
Mythos: Die Zwei-faktor-authentifizierung (2FA) gilt als sehr sicher. Ein so geschütztes Konto soll sich nicht knacken lassen.
„Viele Schutztools gelten seit Jahren als sicher, doch in Wahrheit schützen sie nur in engen Grenzen.“
Darum geht’s: Die Zwei-faktor-authentifizierung wird von vielen Onlinediensten angeboten, etwa Amazon, Gmail und Outlook. com. Bei der 2FA muss man beim Log-in zusätzlich zum Benutzernamen und Passwort noch einen zweiten Code eingeben. Dieser wird vom genutzten Dienst zum Beispiel per SMS auf das Handy des Nutzers gesendet oder durch eine App alle paar Sekunden neu erzeugt.
Die Wahrheit: Leider ist die Zwei-faktorauthentifizierung nicht zu 100 Prozent sicher. Im vergangenen Jahr konnten Angreifer gleich mit zwei Methoden in Konten eindringen, die per 2FA geschützt waren. Bei der ersten Methode hatten sich die Angreifer eine neue Sim-karte vom Mobilfunkprovider ergaunert. Die Masche wird Simswapping genannt. Die Angreifer nehmen eine bestimmte Person ins Visier und finden deren Handynummer heraus. Dann melden sie sich beim Mobilfunk-provider und geben vor, die Sim-karte verloren zu haben. Nachdem der Provider eine neue Karte versendet hatte, mussten die Angreifer diese im Briefkasten abfangen. Oder sie konnten den Provider überreden, die Karte an eine abweichende Adresse zu versenden. Schließlich benötigten die Hacker noch das Log-in-passwort von ihren Opfern, das sie sich etwa per Schadcode besorgen konnten. Zusammen mit der Sim-karte gelangen sie so auch in ein 2Fa-geschützes Konto. Die Angreifer hatten es bei dieser aufwendigen Methode auf die Konten von Bitcoinbesitzern abgesehen. Zumindest einer der Angreifer konnte festgenommen werden und wurde 2018 zu zehn Jahren Haft wegen des Diebstahls von Bitcoins im Wert von fünf Millionen Dollar verurteilt.
Die zweite Methode lief über klassische Phishing-angriffe. Laut Amnesty International gelang es Angreifern, Mailkonten bei Google und Yahoo zu knacken, obwohl diese per 2-Faktor-authentifizierung geschützt waren. Die Opfer, Menschenrechtsaktivisten im Nahen Osten und Nordafrika, sollen Phishing Mails erhalten haben. Diese gaben vor, von Google oder Yahoo zu stammen und ein Problem mit dem Mailkonto zu melden. Die Phishing-mails und -Sites soll täuschend echt ausgesehen haben. Der Empfänger wurde darin aufgefordert, sich in seinem Konto per 2FA anzumelden. Wer dem nachgab, gab sein Konto an die Angreifer preis.
So schützen Sie sich: Gegen das Sim-swapping hilft unter Umständen ein gut geschützter Briefkasten, aus dem der Angreifer keinen Post stehlen können. Eine Garantie gegen Sim-swapping ist das allerdings nicht, da die Angreifer den Mobilfunk-provider auch dazu überreden können, die neue Sim-karte an eine andere Adresse zu versenden. Besser schützen Sie sich mit einem U2f-sicherheitsschlüssel (Universal Second Factor) statt mit einer SMS für den zweiten Faktor. Der Sicherheitsschlüssel er